Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

FreeIPA >= 4.0.0
FreeIPA <= 4.0.4 FreeIPA 4.1.0 slapi-nis < 0.54.1 Betroffene Plattformen: Red Hat Fedora 21 Eine Schwachstelle in FreeIPA ermöglicht einem entfernten, nicht authentifizierten Angreifer das Umgehen von Sicherheitsvorkehrungen. Für Fedora 21 steht ein Sicherheitsupdate auf die aktuelle Version von FreeIPA 4.1.1. zur Verfügung, sowie ein Update für slapi-nis. Patch: Fedora Security Update FEDORA-2014-14427 https://admin.fedoraproject.org/updates/FEDORA-2014-14427/slapi-nis-0.54.1-1.fc21,freeipa-4.1.1-1.fc21

Patch:

FreeIPA Security Release 4.1.1

http://www.freeipa.org/page/Releases/4.1.1

CVE-2014-7828: Schwachstelle in FreeIPA ermöglicht das Umgehen von
Sicherheitsvorkehrungen

Wenn in FreeIPA für einen Benutzer die Verwendung von OTP (One Time
Password) konfiguriert ist, dann ist das erwartete Passwort zur Anmeldung
die Kombination seines Passwortes mit dem OTP Tokencode. Die Schwachstelle
ermöglicht einem Angreifer sich als OTP-Benutzer anzumelden, selbst wenn er
nur den OTP Tokencode besitzt und nicht das Passwort selbst.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-1457/

Fedora Security Update FEDORA-2014-14427:
https://admin.fedoraproject.org/updates/FEDORA-2014-14427/slapi-nis-0.54.1-1.fc21,freeipa-4.1.1-1.fc21

FreeIPA Security Release 4.1.1:
http://www.freeipa.org/page/Releases/4.1.1

Schwachstelle CVE-2014-7828 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-7828

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.