Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Betroffene Software:
Paket curl fÃŒr openSUSE 11.4 (i586 x86_64)
Paket libcurl-devel fÃŒr openSUSE 11.4 (i586 x86_64)
Paket libcurl4 fÃŒr openSUSE 11.4 (i586 x86_64)
Paket libcurl4-32bit fÃŒr openSUSE 11.4 (x86_64)
Betroffene Plattformen:
openSUSE 11.4
Durch eine Schwachstelle in cURL ist es möglich, dass Credentials von
Nutzern ungefragt weitergeleitet werden.
Software Upgrade:
Der Hersteller stellt Updates zur Behebung der Schwachstelle bereit.
http://download.opensuse.org/update/
CVE-2011-2192: Schwachstelle in cURL
In der Funktion Curl_input_negotiate(), die bei der HTTP-Authentifizierung
verwendet wird, wird bei der GSS-Authentifizierung immer ein “Flag” gesetzt,
das erlaubt, dass Credentials des Nutzers weitergegeben werden
(“delegation”). Dies erlaubt einem Angreifer mit Zugriff auf den Server, den
Client auf einen anderen Server zur Authentifizierung umzuleiten.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2012-0235/
Das Hersteller Advisory:
http://lists.opensuse.org/opensuse-security-announce/
Schwachstelle CVE-2011-2192:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-2192
(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.
