Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Apache CXF < 2.7.13 Apache CXF < 3.0.2 Betroffene Plattformen: Red Hat Fedora 20 Red Hat Fedora 21 Eine Schwachstelle in Apache CXF ermöglicht einem entfernten, nicht authentifizierten Angreifer eine fremde Identität vorzutäuschen und darüber Informationen auszuspähen. Patch: Fedora Security Update FEDORA-2014-13720 https://admin.fedoraproject.org/updates/FEDORA-2014-13720/wss4j-1.6.17-1.fc20

Patch:

Fedora Security Update FEDORA-2014-13831

https://admin.fedoraproject.org/updates/FEDORA-2014-13831/wss4j-1.6.17-1.fc21

CVE-2014-3623: Schwachstelle in der SAML SubjectConfirmation in Apache CXF

In Apache CXF werden nicht alle Anforderungen der Sicherheits-Semantik der
SAML SubjectConfirmation Methoden korrekt durchgesetzt, wenn
TransportBinding verwendet wird. Web-Dienste, die mit WSS4j, wie von Apache
CXF eingesetzt, abgesichert werden und SAML für die Authentisierung nutzen,
werden hierdurch anfällig für Spoofing-Angriffe.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-1416/

Fedora Security Update FEDORA-2014-13720:
https://admin.fedoraproject.org/updates/FEDORA-2014-13720/wss4j-1.6.17-1.fc20

Fedora Security Update FEDORA-2014-13831:
https://admin.fedoraproject.org/updates/FEDORA-2014-13831/wss4j-1.6.17-1.fc21

Schwachstelle CVE-2014-3623 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3623

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.