DFN-CERT-2014-0671 cURL, libcurl: Zwei Schwachstellen ermöglichen Umgehung von Zugangsbeschränkungen [Linux][RedHat]

DFN-CERT-2014-0671 cURL, libcurl: Zwei Schwachstellen ermöglichen Umgehung von Zugangsbeschränkungen [Linux][RedHat]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

cURL <= 7.19.7 libcurl <= 7.19.7 Betroffene Plattformen: Red Hat Enterprise Linux 6 Server Red Hat Enterprise Linux Desktop 6.0 Red Hat Enterprise Linux HPC Node 6.0 Red Hat Enterprise Linux Server 6.5 AUS Red Hat Enterprise Linux Server 6.5.z EUS Red Hat Enterprise Linux Workstation 6 Durch Ausnutzen der Schwachstellen in cURL und der Bibliothek libcurl kann ein entfernter Angreifer sich als ein anderer Benutzer authentifizieren und dessen Identität zum Beispiel für den Transfer von Daten verwenden. Patch: Red Hat Security Advisory RHSA-2014:0561-1 http://rhn.redhat.com/errata/RHSA-2014-0561.html

CVE-2014-0138: cURL: Schwachstelle ermöglicht Umgehung von
Zugangsbeschränkungen

Falls das Anwendungsprotokoll einer Übertragung nicht HTTP oder FTP ist,
verwendet die Bibliothek libcurl unter bestimmten Umständen zum Transfer von
Daten eine falsche, bereits existierende Verbindung. Betroffen sind die
Protokolle SCP, SFTP, POP3(S), IMAP(S), SMTP(S) und LDAP(S). Dies ermöglicht
einem entfernten Angreifer das Umgehen einer Authentifizierung bzw. das
Nutzen einer anderen Identität zum Transfer von Daten. Eine Anwendung kann
die Wiederverwendung von existierenden Verbindung generell durch das Setzen
der Variablen CURLOPT_FRESH_CONNECT, CURLOPT_MAXCONNECTS oder
CURLMOPT_MAX_HOST_CONNECTIONS unterbinden.

CVE-2014-0015: Schwachstelle in cURL und libcurl ermöglicht
Identitätsdiebstahl

In cURL und der Bibliothek libcurl kommt es zu einer Wiederverwendung von
NTLM-Verbindungen, falls mehr als eine Authentifizierungsmethode aktiviert
ist. Dies ermöglicht einem entfernten Angreifer in bestimmten Fällen, sich
als ein anderer Benutzer zu authentifizieren und somit seine Identität
anzunehmen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-0671/

Schwachstelle CVE-2014-0015 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0015

Schwachstelle CVE-2014-0138 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0138

Red Hat Security Advisory RHSA-2014:0561-1:
http://rhn.redhat.com/errata/RHSA-2014-0561.html

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.

© COMPUTEC MEDIA GmbH
Nach oben