Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Betroffene Software:
VMware vCenter Server <= 5.0 Update 3 VMware vCenter Server <= 5.1 Update 2 VMware vCenter Server <= 5.5 Update 1 VMware vCenter Server Appliance <= 5.1 Update 2 Betroffene Plattformen: VMware vCenter Server 5.0 VMware vCenter Server 5.1 VMware vCenter Server 5.5 VMware vCenter Server Appliance 5.1 Vcenter Update Manager 5.0 Vcenter Update Manager 5.1 Update 2 VMware ESXi 5.1 VMware schließt mehrere Schwachstellen, die einem zumeist entfernten, nicht authentifizierten Angreifer das Darstellen von falschen Informationen, das Umgehen von Sicherheitsvorkehrungen und das Ausführen von Denial-of-Service-Angriffen ermöglichen, sowie die Übernahme von Benutzerberechtigungen. Hinweis: VMware nimmt ein Update der genutzten Oracle JRE 1.6.0 Version für den vCenter Server und vCenter Update Manager vor. Dem Hersteller-Advisory zufolge, werden die in dem 'Oracle Java SE Critical Patch Update Advisory of July 2014' genannten Schwachstellen über ein Update auf die Version JRE 1.6.0 Update 81 behoben. Bei dem referenzierte July 2014 Patch handelt es sich jedoch um das JRE 1.6.0 Update 75. Jene Schwachstellen sind hier referenziert. Das JRE 1.6.0 Update 81 wurde mit dem Oktober 2014 Patch zur Verfügung gestellt (Referenz anbei). Patch: Oracle Critical Patch Update Advisory - July 2014 http://www.oracle.com/technetwork/topics/security/cpujul2014-1972956.html
Patch:
Oracle Critical Patch Update Advisory – October 2014 (CPUOct2014)
http://www.oracle.com/technetwork/topics/security/cpuoct2014-1972960.html
Patch:
VMware Security Advisories VMSA-2014-0012
https://www.vmware.com/security/advisories/VMSA-2014-0012.html
CVE-2014-8371: Schwachstelle in vCenter Server ermöglicht
Man-in-the-Middle-Angriff
Eine Schwachstelle in vCenter Server führt dazu, dass Zertifikate, bei dem
Verbindungsaufbau zu einem CIM Server, nicht korrekt geprüft werden, wenn
dieser auf einen ESXi Host installiert ist. Ein entfernter, nicht
authentifizierter Angreifer kann einen Man-in-the-Middle-Angriff
durchführen.
CVE-2014-3797: Schwachstelle in VMware vCenter Server 5.1 ermöglicht
Cross-Site-Scripting-Angriff
Eine nicht näher beschriebenen Schwachstelle im VMware vCenter Server 5.1
führt dazu, dass bösartige Webseiten durch den Klick des Benutzers auf einen
Link, während der Benutzer im vCenter angemeldet ist innerhalb der Umgebung
des vCenter geladen werden. Ein entfernter, nicht authentifizierter
Angreifer kann einen Cross-Site-Scripting-Angriff durchführen.
CVE-2014-4252: Schwachstelle in Oracle Java SE
Es existiert eine nicht näher beschriebene Schwachstelle in der Komponente
Security von Java SE, die über mehrere Protokolle über das Netzwerk z.B.
über Java Web Start Anwendungen und Java Applets ausgenutzt werden kann.
Betroffen sind nur Client-Installationen. Ein entfernter, nicht
authentifizierter Angreifer kann diese Schwachstelle ausnutzen, um Daten zu
lesen.
CVE-2014-4219: Schwachstelle in Oracle Java SE
Es existiert eine Schwachstelle in der Komponente Hotspot von Java SE, die
über mehrere Protokolle über das Netzwerk z.B. über Java Web Start
Anwendungen und Java Applets ausgenutzt werden kann. Bytecode aus den
Class-Dateien wird nicht richtig überprüft. Betroffen sind nur
Client-Installationen. Ein entfernter, nicht authentifizierter Angreifer
kann diese Schwachstelle ausnutzen, um beliebige Befehle zur Ausführung zu
bringen.
CVE-2014-4218: Schwachstelle in Oracle Java SE
Es existiert eine nicht näher beschriebene Schwachstelle in der Komponente
Libraries von Java SE, die über mehrere Protokolle über das Netzwerk z.B.
über Java Web Start Anwendungen und Java Applets ausgenutzt werden kann.
Betroffen sind nur Client-Installationen. Ein entfernter, nicht
authentifizierter Angreifer kann diese Schwachstelle ausnutzen, um Daten zu
manipulieren.
CVE-2014-4216: Schwachstelle in Oracle Java SE
Es existiert eine Schwachstelle in der Komponente Hotspot von Java SE, die
über mehrere Protokolle über das Netzwerk z.B. über Java Web Start
Anwendungen und Java Applets ausgenutzt werden kann. Bytecode aus den
Class-Dateien wird nicht richtig überprüft. Betroffen sind nur
Client-Installationen. Ein entfernter, nicht authentifizierter Angreifer
kann diese Schwachstelle ausnutzen, um beliebige Befehle zur Ausführung zu
bringen.
CVE-2014-4209: Schwachstelle in Oracle Java SE
Es existiert eine nicht näher beschriebene Schwachstelle in der Komponente
JMX von Java SE, die über mehrere Protokolle über das Netzwerk z.B. über
Java Web Start Anwendungen und Java Applets ausgenutzt werden kann.
Betroffen sind nur Client-Installationen. Ein entfernter, nicht
authentifizierter Angreifer kann diese Schwachstelle ausnutzen, um Daten zu
manipulieren und zu lesen.
CVE-2014-4268: Schwachstelle in Oracle Java SE
Es existiert eine nicht näher beschriebene Schwachstelle in der Komponente
Swing von Java SE, die über mehrere Protokolle über das Netzwerk z.B. über
Java Web Start Anwendungen und Java Applets ausgenutzt werden kann.
Betroffen sind nur Client-Installationen. Ein entfernter, nicht angemeldeter
Angreifer kann diese Schwachstelle ausnutzen, um Daten zu lesen.
CVE-2014-4265: Schwachstelle in Oracle Java SE
Es existiert eine nicht näher beschriebene Schwachstellen in der Komponenten
Deployment von Java SE, die über mehrere Protokolle über das Netzwerk z.B.
über Java Web Start Anwendungen und Java Applets ausgenutzt werden kann.
Betroffen sind nur Client-Installationen. Ein entfernter, nicht
authentifizierter Angreifer kann diese Schwachstelle ausnutzen, um
unberechtigt Daten zu manipulieren.
CVE-2014-4262: Schwachstelle in Oracle Java SE
Es existiert eine Schwachstelle in der Komponente Libraries von Java SE, die
über mehrere Protokolle über das Netzwerk z.B. über Java Web Start
Anwendungen und Java Applets ausgenutzt werden kann. Mehrere
Berechtigungsprüfungen funktionieren nicht korrekt. Betroffen sind nur
Client-Installationen. Ein entfernter, nicht authentifizierter Angreifer
kann diese Schwachstelle ausnutzen, um beliebige Befehle zur Ausführung zu
bringen.
CVE-2014-4227: Schwachstelle in Oracle Java SE
Es existiert eine nicht näher beschriebene Schwachstelle in der Komponente
Deployment von Java SE, die über mehrere Protokolle über das Netzwerk z.B.
über Java Web Start Anwendungen und Java Applets ausgenutzt werden kann.
Betroffen sind nur Client-Installationen. Ein entfernter, nicht
authentifizierter Angreifer kann diese Schwachstelle ausnutzen, um beliebige
Befehle zu Ausführung zu bringen.
CVE-2014-4263: Schwachstelle in Oracle Java SE und JRockit
Es existiert eine Schwachstelle in der Sicherheitskomponente von Java SE und
JRockit, die über mehrere Protokolle über das Netzwerk z.B. über Java Web
Start Anwendungen und Java Applets ausgenutzt werden kann. Die
Implementierung des Diffie-Hellman (DH) Schlüsselaustausch-Algorithmus
überprüft die öffentlichen Diffie-Hellman-Parameter nicht richtig. Betroffen
sind Client- und Server-Installationen. Ein entfernter, nicht angemeldeter
Angreifer kann diese Schwachstelle ausnutzen, um Daten zu manipulieren und
zu lesen.
CVE-2014-4244: Schwachstelle in Oracle Java SE und JRockit
Es existiert eine Schwachstelle in der Sicherheitskomponente von Java SE und
JRockit, die über mehrere Protokolle über das Netzwerk z.B. über Java Web
Start Anwendungen und Java Applets ausgenutzt werden kann. Der
RSA-Algorithmus führt das “blinding”, während der Benutzung privater
Schlüssel, nicht richtig durch. Betroffen sind Client- und
Server-Installationen. Ein entfernter, nicht angemeldeter Angreifer kann
diese Schwachstelle ausnutzen, um Daten zu manipulieren und zu lesen.
CVE-2014-0191: XXE-Schwachstelle in libxml2
Auch wenn die Substitution von externen Entitäten nicht erlaubt ist, werden
in XML-Dateien referenzierte externe Entitäten von libxml2 nachgeladen. Ein
entfernter, nicht authentifizierter Angreifer kann diese Schwachstelle für
“XML eXternal Entities (XXE)”-Angriffe ausnutzen.
CVE-2014-0138: cURL: Schwachstelle ermöglicht Umgehung von
Zugangsbeschränkungen
Falls das Anwendungsprotokoll einer Übertragung nicht HTTP oder FTP ist,
verwendet die Bibliothek libcurl unter bestimmten Umständen zum Transfer von
Daten eine falsche, bereits existierende Verbindung. Betroffen sind die
Protokolle SCP, SFTP, POP3(S), IMAP(S), SMTP(S) und LDAP(S). Dies ermöglicht
einem entfernten Angreifer das Umgehen einer Authentifizierung bzw. das
Nutzen einer anderen Identität zum Transfer von Daten. Eine Anwendung kann
die Wiederverwendung von existierenden Verbindung generell durch das Setzen
der Variablen CURLOPT_FRESH_CONNECT, CURLOPT_MAXCONNECTS oder
CURLMOPT_MAX_HOST_CONNECTIONS unterbinden.
CVE-2013-1752: Python readline-Funktion liest über Zeilenende hinaus
Verschiedene Funktionsaufrufe von readline lesen über das Ende einer
Eingabezeile hinaus. Ein entfernter, nicht authentifizierter Angreifer kann
bei Anwendungen, die die betroffenen Funktionsaufrufe verwenden,
Denial-of-Service-Zustände auslösen.
CVE-2014-0015: Schwachstelle in cURL und libcurl ermöglicht
Identitätsdiebstahl
In cURL und der Bibliothek libcurl kommt es zu einer Wiederverwendung von
NTLM-Verbindungen, falls mehr als eine Authentifizierungsmethode aktiviert
ist. Dies ermöglicht einem entfernten Angreifer in bestimmten Fällen, sich
als ein anderer Benutzer zu authentifizieren und somit seine Identität
anzunehmen.
CVE-2013-2877: Fehlerhafte Speicherzuordnung in LibXML2
Beim Einlesen von XML-Dateien schreibt die Bibliothek LibXML2 die gelesenen
Daten unter bestimmten Umständen über Feldgrenzen hinaus in den Speicher
(Out-of-Bounds Read). Ein entfernter Angreifer kann diese Schwachstelle zu
einem Denial-of-Service-Angriff ausnutzen, indem er den Benutzer dazu
bringt, eine entsprechend aufgebaute XML-Datei mit einer verwundbaren
Anwendung, die die Bibliothek einbindet, zu öffnen.
CVE-2013-4238: Fehler bei der Verarbeitung von NULL-Zeichen in Zertifikaten
Die Funktion ssl.match_hostname im SSL-Modul von Python verarbeitet
NULL-Zeichen im Domain Namen im Feld Subject Alternative Name eines
Zertifikats nicht korrekt. Ein entfernter, nicht authentifizierter Angreifer
kann diese Schwachstelle dazu ausnutzen, ein Zertifikat mit NULL-Zeichen zu
konstruieren und damit vorzugeben, dass sein Zertifikat zu einer anderen
Einrichtung gehört. Damit der Angriff gelingt, muss das für den Angriff
verwendete Zertifikat von einer vertrauenswürdigen CA signiert sein. Danach
kann der Angreifer Man-in-the-Middle-Angriffe durchführen und so u.a. an
vertrauliche Daten der Benutzer gelangen.
CVE-2013-4238: Fehler bei der Verarbeitung von NULL-Zeichen in Zertifikaten
Die Funktion ssl.match_hostname im SSL-Modul von Python verarbeitet
NULL-Zeichen im Domain Namen im Feld Subject Alternative Name eines
Zertifikats nicht korrekt. Ein entfernter, nicht authentifizierter Angreifer
kann diese Schwachstelle dazu ausnutzen, ein Zertifikat mit NULL-Zeichen zu
konstruieren und damit vorzugeben, dass sein Zertifikat zu einer anderen
Einrichtung gehört. Damit der Angriff gelingt, muss das für den Angriff
verwendete Zertifikat von einer vertrauenswürdigen CA signiert sein. Danach
kann der Angreifer Man-in-the-Middle-Angriffe durchführen und so u.a. an
vertrauliche Daten der Benutzer gelangen.
CVE-2013-2877: Fehlerhafte Speicherzuordnung in LibXML2
Beim Einlesen von XML-Dateien schreibt die Bibliothek LibXML2 die gelesenen
Daten unter bestimmten Umständen über Feldgrenzen hinaus in den Speicher
(Out-of-Bounds Read). Ein entfernter Angreifer kann diese Schwachstelle zu
einem Denial-of-Service-Angriff ausnutzen, indem er den Benutzer dazu
bringt, eine entsprechend aufgebaute XML-Datei mit einer verwundbaren
Anwendung, die die Bibliothek einbindet, zu öffnen.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-1595/
Schwachstelle CVE-2013-4238 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-4238
Schwachstelle CVE-2013-2877 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-2877
Schwachstelle CVE-2013-1752 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-1752
Schwachstelle CVE-2014-0015 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0015
Schwachstelle CVE-2014-0138 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0138
Schwachstelle CVE-2014-0191 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0191
Oracle Critical Patch Update Advisory – July 2014:
http://www.oracle.com/technetwork/topics/security/cpujul2014-1972956.html
Schwachstelle CVE-2014-4209 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-4209
Schwachstelle CVE-2014-4216 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-4216
Schwachstelle CVE-2014-4218 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-4218
Schwachstelle CVE-2014-4219 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-4219
Schwachstelle CVE-2014-4227 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-4227
Schwachstelle CVE-2014-4244 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-4244
Schwachstelle CVE-2014-4252 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-4252
Schwachstelle CVE-2014-4262 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-4262
Schwachstelle CVE-2014-4263 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-4263
Schwachstelle CVE-2014-4265 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-4265
Schwachstelle CVE-2014-4268 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-4268
Oracle Critical Patch Update Advisory – October 2014 (CPUOct2014):
http://www.oracle.com/technetwork/topics/security/cpuoct2014-1972960.html
VMware Security Advisories VMSA-2014-0012:
https://www.vmware.com/security/advisories/VMSA-2014-0012.html
Schwachstelle CVE-2014-3797 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3797
Schwachstelle CVE-2014-8371 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-8371
(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.
