DFN-CERT-2014-1600 Icecast: Zwei Schwachstellen ermöglichen u. a. das Ausspähen von Informationen [Linux][Fedora]

DFN-CERT-2014-1600 Icecast: Zwei Schwachstellen ermöglichen u. a. das Ausspähen von Informationen [Linux][Fedora]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Icecast <= 2.4.1 Betroffene Plattformen: Extra Packages for Red Hat Enterprise Linux 5 Extra Packages for Red Hat Enterprise Linux 6 Durch Ausnutzen zweier Schwachstellen kann entweder ein entfernter, nicht authentifizierter Angreifer sensible Informationen ausspähen oder ein lokaler, nicht authentifizierter Angreifer verschiedene Angriffe durchführen, welche die Vertraulichkeit, Integrität und Verfügbarkeit beeinträchtigen können. Für Extra Packages for Red Hat Enterprise Linux 5 und 6 werden Sicherheitsupdates in der Form aktualisierter Pakete von icecast-2.4.1 bereitgestellt, um diese Schwachstellen zu beheben. Patch: Fedora Security Update FEDORA-EPEL-2014-4441 https://admin.fedoraproject.org/updates/FEDORA-EPEL-2014-4441/icecast-2.4.1-1.el5

Patch:

Fedora Security Update FEDORA-EPEL-2014-4442

https://admin.fedoraproject.org/updates/FEDORA-EPEL-2014-4442/icecast-2.4.1-1.el6

CVE-2014-9091: Schwachstelle in Icecast erlaubt verschiedene Angriffe

Eine Schwachstelle in Icecast besteht darin, dass zusätzliche Gruppen nicht
übergangen werden. Ein lokaler, nicht authentifizierter Angreifer kann diese
Schwachstelle ausnutzen, um mit Hilfe zusätzlicher Gruppen möglicherweise
Berechtigungen zu erlangen, mittels derer er verschiedene, nicht näher
beschriebene Angriffe durchführen kann.

CVE-2014-9018: Eine Schwachstelle in Icecast erlaubt sensible Informationen
auszuspähen

Eine Schwachstelle in Icecast bevor 2.4.1 besteht darin, dass dieses die
Ausgabe des “on-connect”-Skripts mit überträgt. Ein entfernter, nicht
authentifizierter Angreifer kann diese Schwachstelle ausnutzen, um sensible
Information bezüglich geteilter Dateibeschreibungen auszuspähen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-1600/

Schwachstelle CVE-2014-9018 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-9018

Fedora Security Update FEDORA-EPEL-2014-4441:
https://admin.fedoraproject.org/updates/FEDORA-EPEL-2014-4441/icecast-2.4.1-1.el5

Fedora Security Update FEDORA-EPEL-2014-4442:
https://admin.fedoraproject.org/updates/FEDORA-EPEL-2014-4442/icecast-2.4.1-1.el6

Schwachstelle CVE-2014-9091 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-9091

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben