Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Paket nss, nss-util und nspr

Betroffene Plattformen:

Red Hat Enterprise Linux Desktop (v. 6) – i386, x86_64
Red Hat Enterprise Linux Desktop Optional (v. 6) – i386, x86_64
Red Hat Enterprise Linux HPC Node (v. 6) – x86_64
Red Hat Enterprise Linux HPC Node Optional (v. 6) – x86_64
Red Hat Enterprise Linux Server (v. 6) – i386, ppc64, s390x, x86_64
Red Hat Enterprise Linux Server Optional (v. 6) – i386, ppc64, s390x,
x86_64
Red Hat Enterprise Linux Workstation (v. 6) – i386, x86_64
Red Hat Enterprise Linux Workstation Optional (v. 6) – i386, x86_64

Durch nicht vertrauenswürdige SSL-Zertifikate in NSS ist es einem entfernten
Angreifer möglich, HTTPS-Verbindungen abzuhören oder zu modifizieren.

Software Upgrade:

Der Hersteller stellt Updates zur Behebung der Schwachstelle bereit.

https://rhn.redhat.com

RedHat Bug ID 798533: Nicht vertrauenswürdige SSL-Zertifikate in NSS

Eine Certificate Authority hat ein untergeordnetes Root-Zertifikat
ausgestellt, welches ermöglicht, unlimitiert SSL-Zertifikate für beliebige
Domains und Hostnamen auszustellen.
Dies ermöglicht einem entfernten Angreifer einen eigenen Server unter der
Adresse einer anderen Domain zu betreiben und für diese im Browser ein
gültiges Zertifikat auszustellen. Ausserdem auf können auf diese Weise
Verbindungen komplett abgehört und manipuliert werden
(Man-in-the-Middle-Angriff).
Als Abhilfe wird das Nicht vertrauenswürdige Zertifikat in den
NSS-Bibliotheken deaktiviert.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2012-1205/

Das Hersteller Advisory:
https://rhn.redhat.com/errata/RHSA-2012-0973.html

Schwachstelle RedHat Bug ID 798533:
https://bugzilla.redhat.com/show_bug.cgi?id=798533

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.