UPDATE: DFN-CERT-2014-0415 OpenSSH: Schwachstellen ermöglichen Umgehen von Sicherheitsmechanismen [Linux][Debian][Fedora]

UPDATE: DFN-CERT-2014-0415 OpenSSH: Schwachstellen ermöglichen Umgehen von Sicherheitsmechanismen [Linux][Debian][Fedora]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 3 (22.05.2014):
Für Fedora 19 wurde ein Sicherheitsupdate bereitgestellt.
Version 2 (16.05.2014):
Es stehen nun auch Sicherheitsupdates für Fedora 20 zur Verfügung.
Version 1 (07.04.2014):
Neues Advisory

Betroffene Software:

OpenBSD OpenSSH <= 6.6 Betroffene Plattformen: Debian Linux 6.0.9 Squeeze Debian Linux 7.4 Wheezy Red Hat Fedora 19 Red Hat Fedora 20 Ein entfernter, nicht authentifizierter Angreifer kann diese Schwachstellen ausnutzen, um Sicherheitsmechanismen zu umgehen und somit unerlaubten Zugriff auf Systeme zu erlangen. Patch: Debian Security Advisory DSA-2894 http://www.debian.org/security/2014/dsa-2894

Patch:

Fedora Security Update FEDORA-2014-6380

https://admin.fedoraproject.org/updates/FEDORA-2014-6380/openssh-6.4p1-4.fc20

Patch:

Fedora Security Advisory FEDORA-2014-6569

https://admin.fedoraproject.org/updates/FEDORA-2014-6569/openssh-6.2p2-8.fc19

CVE-2014-2653: Schwachstelle in OpenSSH ermöglicht Umgehen von
Sicherheitsmechanismen

Die Funktion verify_host_key() in der Datei ‘sshconnect.c’ im OpenSSH-Client
ermöglicht einem entfernten Server durch das Übermitteln eines ungültigen
Server-Zertifikats die Überprüfung des SSHFP DNS Resource Record zu
überspringen. Ein entfernter Angreifer kann dadurch Sicherheitsüberprüfungen
umgehen und nicht autorisierten Zugriff auf Ressourcen erlangen.

CVE-2014-2532: Schwachstelle in OpenSSH

Eine Schwachstelle in sshd in OpenSSH besteht darin, dass die Verwendung von
Wildcards in “AcceptEnv”-Zeilen in der sshd_config nicht fehlerfrei
unterstützt wird. Diese Schwachstelle erlaubt einem entfernten Benutzer als
Angreifer, die beabsichtigten Umgebungsbeschränkungen zu umgehen, indem er
einen Substring vor einer Wildcard verwendet.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-0415/

Schwachstelle CVE-2014-2532 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-2532

Schwachstelle CVE-2014-2653 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-2653

Debian Security Advisory DSA-2894:
http://www.debian.org/security/2014/dsa-2894

Fedora Security Update FEDORA-2014-6380:
https://admin.fedoraproject.org/updates/FEDORA-2014-6380/openssh-6.4p1-4.fc20

Fedora Security Advisory FEDORA-2014-6569:
https://admin.fedoraproject.org/updates/FEDORA-2014-6569/openssh-6.2p2-8.fc19

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.

UPDATE: DFN-CERT-2014-0415 OpenSSH: Schwachstellen ermöglichen Umgehen von Sicherheitsmechanismen [Linux][Debian][Fedora]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 2 (16.05.2014):
Es stehen nun auch Sicherheitsupdates für Fedora 20 zur Verfügung.
Version 1 (07.04.2014):
Neues Advisory

Betroffene Software:

OpenBSD OpenSSH <= 6.6 Betroffene Plattformen: Debian Linux 6.0.9 Squeeze Debian Linux 7.4 Wheezy Red Hat Fedora 20 Ein entfernter, nicht authentifizierter Angreifer kann diese Schwachstellen ausnutzen, um Sicherheitsmechanismen zu umgehen und somit unerlaubten Zugriff auf Systeme zu erlangen. Patch: Debian Security Advisory DSA-2894 http://www.debian.org/security/2014/dsa-2894

Patch:

Fedora Security Update FEDORA-2014-6380

https://admin.fedoraproject.org/updates/FEDORA-2014-6380/openssh-6.4p1-4.fc20

CVE-2014-2653: Schwachstelle in OpenSSH ermöglicht Umgehen von
Sicherheitsmechanismen

Die Funktion verify_host_key() in der Datei ‘sshconnect.c’ im OpenSSH-Client
ermöglicht einem entfernten Server durch das Übermitteln eines ungültigen
Server-Zertifikats die Überprüfung des SSHFP DNS Resource Record zu
überspringen. Ein entfernter Angreifer kann dadurch Sicherheitsüberprüfungen
umgehen und nicht autorisierten Zugriff auf Ressourcen erlangen.

CVE-2014-2532: Schwachstelle in OpenSSH

Eine Schwachstelle in sshd in OpenSSH besteht darin, dass die Verwendung von
Wildcards in “AcceptEnv”-Zeilen in der sshd_config nicht fehlerfrei
unterstützt wird. Diese Schwachstelle erlaubt einem entfernten Benutzer als
Angreifer, die beabsichtigten Umgebungsbeschränkungen zu umgehen, indem er
einen Substring vor einer Wildcard verwendet.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-0415/

Schwachstelle CVE-2014-2532 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-2532

Schwachstelle CVE-2014-2653 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-2653

Debian Security Advisory DSA-2894:
http://www.debian.org/security/2014/dsa-2894

Fedora Security Update FEDORA-2014-6380:
https://admin.fedoraproject.org/updates/FEDORA-2014-6380/openssh-6.4p1-4.fc20

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.

© COMPUTEC MEDIA GmbH
Nach oben