Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Betroffene Software:
Red Hat Fedora <= 20 Betroffene Plattformen: Fedora Linux RedHat Zwei sicherheitsrelevante Schwachstellen werden geschlossen. Eine betrifft den Netzwerkverkehr, denn obwohl angenommen wird, dass der IPv6 ausgehende Verkehr verschlüsselt ist, geschieht dies nicht. Damit haben Angreifer, auch wenn diese nur den Datenverkehr ablauschen können, direkten Zugriff auf die übertragenen Informationen. Die andere Schwachstelle ist nur lokal durch authentifizierte Benutzer ausnutzbar und erlaubt eine Privilegienausweitung. Patch: Fedora Update FEDORA-2013-16794 https://admin.fedoraproject.org/updates/FEDORA-2013-16794/kernel-3.11.1-300.fc20
CVE-2013-4350: Beim Einsatz von SCTP über IPv6 keine Verschlüsselung
Im Gegensatz zu IPv4 mit IPsec wird bei IPv6 und SCTP als Transportprotokoll
keine Verschlüsselung durchgeführt, auch wenn diese konfiguriert wurde.
CVE-2013-4343: Privilegieneskalation nach Nutzung des Universal TUN/TAP
Gerätetreibers (CONFIG_TUN)
Wenn der Kernel mit dem Support für “Universal TUN/TAP (CONFIG_TUN)”
compiliert wurde, existiert die Möglichkeit einer Privilegieneskalation.
Wenn ein aktiviertes Device nicht mehr genutzt werden soll, wird es nicht
vollständig gelöscht und steht damit weiter zur Verfügung (Use-after-free).
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2013-1661/
Fedora Update FEDORA-2013-16794:
https://admin.fedoraproject.org/updates/FEDORA-2013-16794/kernel-3.11.1-300.fc20
Schwachstelle CVE-2013-4343 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-4343
Schwachstelle CVE-2013-4350 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-4350
(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.
