Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Betroffene Software:
Betroffene Plattformen:
Canonical Ubuntu Linux 10.04 Lts
Canonical Ubuntu Linux 12.04 Lts
Canonical Ubuntu Linux 12.10
Canonical Ubuntu Linux 13.04
Red Hat Fedora 22
Ein entfernter Angreifer kann SSL-Zertifikate manipulieren und damit einen
Man-in-the-Middle-Angriff durchführen.
Für die Distribution Fedora 22 steht ein Sicherheitsupdate in Form des
Paketes python-httplib2-0.9-6.fc22 im Status ‘testing’ bereit.
Patch:
Ubuntu Security Notice USN-1948-1
http://www.ubuntu.com/usn/usn-1948-1/
Patch:
Fedora Security Update FEDORA-2015-5503
https://admin.fedoraproject.org/updates/FEDORA-2015-5503/python-httplib2-0.9-6.fc22
CVE-2013-2037: Fehler bei Überprüfung von Domain-Namen in SSL-Zertifikaten
durch httplib2
In dem Python-Modul httplib2 existiert ein Fehler bei der Überprüfung von
Domain-Namen in SSL-Zertifikaten beim Aufbau von https-Verbindungen. Ein
entfernter Angreifer kann dies unter Umständen ausnutzen, um einen
Man-in-the-Middle-Angriff durchzuführen, da zwar der erste
Verbindungsversuch korrekt scheitert, aber weitere Versuche zum Erfolg
führen.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2013-1607/
Ubuntu Security Notice USN-1948-1:
http://www.ubuntu.com/usn/usn-1948-1/
Schwachstelle CVE-2013-2037 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-2037
Fedora Security Update FEDORA-2015-5503:
https://admin.fedoraproject.org/updates/FEDORA-2015-5503/python-httplib2-0.9-6.fc22
(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.
