Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Paket libcrypt

Betroffene Plattformen:

2012-05-30 12:01:28 UTC (RELENG_7, 7.4-STABLE)
2012-05-30 12:01:28 UTC (RELENG_7_4, 7.4-RELEASE-p8)
2012-05-30 12:01:28 UTC (RELENG_8, 8.3-STABLE)
2012-05-30 12:01:28 UTC (RELENG_8_3, 8.3-RELEASE-p2)
2012-05-30 12:01:28 UTC (RELENG_8_2, 8.2-RELEASE-p8)
2012-05-30 12:01:28 UTC (RELENG_8_1, 8.1-RELEASE-p10)
2012-05-30 12:01:28 UTC (RELENG_9, 9.0-STABLE)
2012-05-30 12:01:28 UTC (RELENG_9_0, 9.0-RELEASE-p2)

Aufgrund einer Schwachstelle in der Bibliothek Libcrypt bei DES
Implementierung kann ein Angreifer unter anderen leichter Passwörter
erraten.

Software Upgrade:

Der Hersteller stellt Updates zur Behebung der Schwachstelle bereit.

http://security.freebsd.org/patches/

CVE-2012-2143: Schwachstelle in der DES Implementation der Funktion crypt()

Bei der DES Implementation die in der Funktion crypt() verwendet wird ist
eine Schwachstelle bei der Verarbeitung von nicht ASCII-Zeichen vorhanden.
Bei einem Zeichen mit einem gesetzten höchstwertigen Bit (0x80) wird die
Verarbeitung dieses und aller weiteren Zeichen gestoppt. Dadurch können zum
Beispiel mit dieser Funktion generierte Password-Hashes deutlich unsicherer
sein. Ein Angreifer kann diese Schwachstelle ausnutzen um leichter ein
Passwort zu erraten.

Bitte beachten Sie, dass nach einem Update der Passwort-Hash nicht mehr der
Alte ist, falls ein Zeichen mit gesetzten höchstwertigen Bit enthalten ist.
Dadurch kann eventuell ein Zugriff über dieses Passwort nicht mehr möglich
sein.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2012-1035/

Das Hersteller Advisory:
http://security.FreeBSD.org/advisories/FreeBSD-SA-12:02.crypt.asc

Schwachstelle CVE-2012-2143:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-2143

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.