DFN-CERT-2013-2001 Network Block Device (nbd)-Server: Eine Schwachstelle ermöglicht das Umgehen von Sicherheitsvorkehrungen [Linux][Debian][Fedora][Unix]

- 03. Dezember 2013

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Debian Linux <= 6.2 Squeeze Debian Linux <= 7.2 Wheezy Red Hat Fedora <= 20 Betroffene Plattformen: Debian Fedora Linux UNIX Eine Schwachstelle im nbd-Server ermöglicht einem entfernten, nicht authentifizierten Angreifer unerlaubten Zugriff auf ein Network Block Device, sofern die Client-IP den selben Prefix, wie eine erlaubte IP hat. Patch: Debian Security Advisory DSA-2806 http://www.debian.org/security/2013/dsa-2806

Patch:

Fedora Update FEDORA-2013-22557

https://admin.fedoraproject.org/updates/FEDORA-2013-22557/nbd-3.5-1.fc20

CVE-2013-6410: Schwachstelle im Network Block Device (nbd)-Server

Eine Schwachstelle im nbd-Server im Zusammenhang mit einer falschen
Verwendung von strncmp() beim Parsen der Konfigurationsdatei kann zu
unberechtigtem Zugriff führen. Ein entfernter, nicht authentifizierter
Angreifer aus dem selben lokalen Netzwerk kann Zugriff auf das ‘Network
Block Device’ erlangen, wenn die IP des Client den gleichen Prefix wie eine
erlaubte IP-Adresse hat.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2013-2001/

Schwachstelle CVE-2013-6410 (Red Hat):
https://access.redhat.com/security/cve/CVE-2013-6410

Debian Security Advisory DSA-2806:
http://www.debian.org/security/2013/dsa-2806

Schwachstelle CVE-2013-6410 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-6410

Fedora Update FEDORA-2013-22557:
https://admin.fedoraproject.org/updates/FEDORA-2013-22557/nbd-3.5-1.fc20