Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

WebKitGTK

Betroffene Plattformen:

Red Hat Fedora 20
Red Hat Fedora 21

Eine Schwachstelle in WebKitGTK ermöglicht einem entfernten, nicht
authentifizierten Angreifer Informationen auszuspähen. Für Fedora 20 und 21
werden Sicherheitsupdates in Form der Pakete webkitgtk3-2.2.8-3.fc20, bzw.
webkitgtk4-2.6.5-3.fc21 (beide im Status “testing”) zur Verfügung gestellt.

Patch:

Fedora Security Update FEDORA-2015-4138

https://admin.fedoraproject.org/updates/FEDORA-2015-4138/webkitgtk3-2.2.8-3.fc20

Patch:

Fedora Security Update FEDORA-2015-4171

https://admin.fedoraproject.org/updates/FEDORA-2015-4171/webkitgtk4-2.6.5-3.fc21

CVE-2015-2330: Schwachstelle in WebKitGTK ermöglicht das Ausspähen von
Informationen

Die TLS-Zertifikatsprüfung wird erst vorgenommen, nachdem eine HTTP-Anfrage
bereits versandt wurde, wodurch sensible Daten, trotz eines negativen
Ergebnisses der Prüfung, an einen Server übermittelt werden können.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-0376/

Fedora Security Update FEDORA-2015-4138:
https://admin.fedoraproject.org/updates/FEDORA-2015-4138/webkitgtk3-2.2.8-3.fc20

Fedora Security Update FEDORA-2015-4171:
https://admin.fedoraproject.org/updates/FEDORA-2015-4171/webkitgtk4-2.6.5-3.fc21

Schwachstelle CVE-2015-2330 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-2330

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.