Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Red Hat Enterprise Linux <= 5 Client/mod_nss Red Hat Enterprise Linux <= 5 Server/mod_nss Red Hat Enterprise Linux <= 6 Client/mod_nss Red Hat Enterprise Linux <= 6 Computernode/mod_nss Red Hat Enterprise Linux <= 6 Server/mod_nss Red Hat Enterprise Linux <= 6 Workstation/mod_nss Betroffene Plattformen: Linux RedHat UNIX Ein entfernter, nicht authentifizierter Angreifer ist durch Ausnutzung der Schwachstelle in der Lage, sich mit dem Server ohne gültiges Client Zertifikat zu verbinden und auf Inhalte in zugriffsbeschränkten Verzeichnissen zuzugreifen. Patch: Red Hat Security Advisory RHSA-2013-1779 http://rhn.redhat.com/errata/RHSA-2013-1779.html

CVE-2013-4566: Schwachstelle in mod_nss

Es existiert eine Schwachstelle in der Behandlung von ‘NSSVerifyClient’.
Wenn im Server Kontext ‘NSSVerifyClient none’ gesetzt ist und die
Authentifizierung mittels eines Client Zertifikates für ein spezielles
Verzeichnis über ‘NSSVerifyClient require’ erwartet wird, dann erfolgt die
Prüfung auf das erwartete Zertifikat in mod_nss nicht korrekt.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2013-2011/

Schwachstelle CVE-2013-4566 (RedHat):
https://www.redhat.com/security/data/cve/CVE-2013-4566.html

Red Hat Security Advisory RHSA-2013-1779:
http://rhn.redhat.com/errata/RHSA-2013-1779.html

Schwachstelle CVE-2013-4566 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-4566

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.