UPDATE: DFN-CERT-2014-0130 Eine Schwachstelle ermöglicht Identitätsdiebstahl [Linux][Debian][Fedora]

UPDATE: DFN-CERT-2014-0130 Eine Schwachstelle ermöglicht Identitätsdiebstahl [Linux][Debian][Fedora]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 2 (04.02.2014):
Die Schwachstelle ist jetzt in den Ubuntu Versionen 13.10, 12.10, 12.04
LTS und 10.04 LTS behoben.
Version 1 (03.02.2014):
Neues Advisory

Betroffene Software:

cURL >= 7.10.6
cURL <= 7.34.0 libcurl >= 7.10.6
libcurl <= 7.34.0 Betroffene Plattformen: Canonical Ubuntu Linux 10.04 Lts Canonical Ubuntu Linux 12.04 Lts Canonical Ubuntu Linux 12.10 Canonical Ubuntu Linux 13.10 Debian Linux 6.0.8 Squeeze Debian Linux 7.3 Wheezy Debian Linux 8.0 Jessie Red Hat Fedora 19 Red Hat Fedora 20 Ein entfernter Angreifer kann diese Schwachstelle ausnutzen, um sich als ein anderer Benutzer zu authentifizieren. Patch: Debian Security Advisory DSA-2849 http://www.debian.org/security/2014/dsa-2849

Patch:

Fedora Update FEDORA-2014-1876

https://admin.fedoraproject.org/updates/FEDORA-2014-1876/curl-7.32.0-4.fc20

Patch:

Fedora Update FEDORA-2014-1864

https://admin.fedoraproject.org/updates/FEDORA-2014-1864/curl-7.29.0-13.fc19

Patch:

Ubuntu Security Notice USN-2097-1

http://www.ubuntu.com/usn/usn-2097-1

CVE-2014-0015: Schwachstelle in cURL und libcurl ermöglicht
Identitätsdiebstahl

In cURL und der Bibliothek libcurl kommt es zu einer Wiederverwendung von
NTLM-Verbindungen, falls mehr als eine Authentifizierungsmethode aktiviert
ist. Dies ermöglicht einem entfernten Angreifer in bestimmten Fällen, sich
als ein anderer Benutzer zu authentifizieren und somit seine Identität
anzunehmen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-0130/

Schwachstelle CVE-2014-0015 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0015

Debian Security Advisory DSA-2849:
http://www.debian.org/security/2014/dsa-2849

Fedora Update FEDORA-2014-1876:
https://admin.fedoraproject.org/updates/FEDORA-2014-1876/curl-7.32.0-4.fc20

Fedora Update FEDORA-2014-1864:
https://admin.fedoraproject.org/updates/FEDORA-2014-1864/curl-7.29.0-13.fc19

Ubuntu Security Notice USN-2097-1:
http://www.ubuntu.com/usn/usn-2097-1

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.

© COMPUTEC MEDIA GmbH
Nach oben