DFN-CERT-2013-0198 Schwachstelle in den Network Security Services (NSS) [Linux][RedHat]

DFN-CERT-2013-0198 Schwachstelle in den Network Security Services (NSS) [Linux][RedHat]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Paket nss and nspr

Betroffene Plattformen:

RHEL Desktop Workstation (v. 5 client) – i386, x86_64
Red Hat Enterprise Linux (v. 5 server) – i386, ia64, ppc, s390x, x86_64
Red Hat Enterprise Linux Desktop (v. 5 client) – i386, x86_64

Aufgrund eines gefälschten Zertifikats, das die Network Security Services
(NSS) akzeptieren, ist es einem entfernten Angreifer möglich, Inhalte zu
manipulieren und Phishing- oder Man-in-the-Middle-Angriffe durchzuführen.

Software Upgrade:

Der Hersteller stellt Updates zur Behebung der Schwachstelle bereit.

https://rhn.redhat.com

2798897, CVE-2013-0743: Gefälschtes Zertifikat für Google-Domains
ausgestellt

Die CA TURKTRUST Inc. erstellte fehlerhafte Zertifikate für die zwei Sub-CAs
‘*.EGO.GOV.TR’ und ‘e-islem.kktcmerkezbankasi.org’. Den Zertifikaten fehlt
eine CRL- oder OCSP-Erweiterung. Die Sub-CA ‘*.EGO.GOV.TR’ wurde genutzt um
ein gefälschtes Zertifikat für diverse Google-Domains wie zum Beispiel für
*.google.com, *.android.com, *.google.de, *.youtube.com, *.ytimg.com,
*.gstatic.com zu erstellen. Dies ermöglicht einem entfernten Angreifer
Inhalte dieser Seiten zu manipulieren und Phishing- oder
Man-in-the-Middle-Angriffe durchzuführen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2013-0198/

Das Hersteller Advisory:
https://rhn.redhat.com/errata/RHSA-2013-0214.html

Schwachstelle CVE-2013-0743:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-0743

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.

© COMPUTEC MEDIA GmbH
Nach oben