DFN-CERT-2013-1602 Red Hat Fedora TinyProxy: Mehrere Schwachstellen ermöglichen unberechtigten Zugriff auf den Proxy [Linux][Fedora][RedHat]

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Red Hat Fedora <= 19 Red Hat Fedora <= 20 Betroffene Plattformen: Fedora Linux RedHat Mehrere Schwachstellen in TinyProxy ermöglichen einem entfernten Angreifer durch Manipulation von Dateien unberechtigten Zugriff auf den Proxy. Patch: Fedora Update FEDORA-2013-16225 https://admin.fedoraproject.org/updates/FEDORA-2013-16225/tinyproxy-1.8.3-1.fc19

CVE-2011-1843: TinyProxy: Schwachstelle in der Verwaltung von
Zugangsbeschränkungen

Eine Schwachstelle in Tinyproxy in der Datei conf.c enthält einen Integer
Overflow der dazu führt, dass durch unsachgemäße Verarbeitung von Port
Nummern, Zugangsbeschränkungen umgangen werden können. Ein entfernter
Angreifer kann dadurch den Proxy unberechtigt nutzen.

CVE-2011-1499: TinyProxy: Schwachstelle in der Verwaltung der Access Control
Lists

TinyProxy erlaubt den Zugriff auf den Proxy per Access Control List (ACL)
einzugrenzen. Aufgrund eines Fehlers bei der Bearbeitung der Netzmasken in
“Allow” Regeln können diese fehlerhaft interpretiert werden. Dies hat zur
Folge, dass der Zugriff auf den Proxy von IP-Adressen möglich ist, die durch
die ACL eigentlich gesperrt werden sollten.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2013-1602/

Schwachstelle CVE-2011-1499 (Red Hat):
https://access.redhat.com/security/cve/CVE-2011-1499

Schwachstelle CVE-2011-1843 (Red Hat):
https://access.redhat.com/security/cve/CVE-2011-1843

Fedora Update FEDORA-2013-16225:
https://admin.fedoraproject.org/updates/FEDORA-2013-16225/tinyproxy-1.8.3-1.fc19

Schwachstelle CVE-2011-1499 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2011-1499

Schwachstelle CVE-2011-1843 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2011-1843