Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Betroffene Software:
cURL
Debian Linux <= 6.2 Squeeze
Debian Linux <= 7.2 Wheezy
Debian Linux <= 8.0 Jessie
Betroffene Plattformen:
Debian
Linux
UNIX
Eine Schwachstelle in cURL im Zusammenhang mit openSSL als
TLS/SSL-Bibliothek kann dazu führen, dass beim Deaktivieren des Peer-Checks
auch der Hostname-Check ausgeschaltet wird. Dies ermöglicht einem entfernten
Angreifer sich als ein anderer Server auszugeben, während der Benutzer
annimmt, dass eine Sicherheitsprüfung stattgefunden hat.
Patch:
Debian Security Advisory DSA 2798-1
http://lists.debian.org/debian-security-announce/2013/msg00212.html
CVE-2013-4545: Schwachstelle in libcurl mit openssl-Bibliothek
Eine Schwachstelle in der libcurl, wenn openssl als TLS/SSL-Bibliothek
verwendet wird, führt dazu, dass Server Namen nicht mehr richtig geprüft
werden, wenn die Umgebungsvariable CURLOPT_SSL_VERIFYPEER auf 0 gesetzt ist.
Eine Anwendung könnte so fälschlicherweise davon ausgehen, dass eine
Überprüfung durchgeführt wurde, obwohl dies nicht der Fall ist. Ein
entfernter, nicht authentifizierter Angreifer kann sich durch Ausnutzen der
Schwachstelle mit einem anderen Hostname identifizieren.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2013-1946/
Schwachstelle CVE-2013-4545 (Red Hat):
https://access.redhat.com/security/cve/CVE-2013-4545
Schwachstelle CVE-2013-4545 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-4545
Debian Security Advisory DSA 2798-1:
http://lists.debian.org/debian-security-announce/2013/msg00212.html
(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.
