Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

realmd <= 0.14.5 Betroffene Plattformen: Red Hat Fedora 20 Red Hat Fedora 21 Ein im benachbarten Netzwerk befindlicher, nicht authentisierter Angreifer kann diese Schwachstelle ausnutzen, um auf unsichere Weise eine SSSD- und/oder SMB-Netzwerkanmeldung einzurichten und somit möglicherweise unautorisiert Benutzerrechte zu erlangen. Für Fedora 20 und 21 werden Sicherheitsupdates in Form der aktualisierten Pakete realmd-0.14.6-6.fc20, bzw. realmd-0.15.2-2.fc21 (jeweils im Status "testing") zur Verfügung gestellt. Patch: Fedora Security Update FEDORA-2015-6339 https://admin.fedoraproject.org/updates/FEDORA-2015-6339/realmd-0.14.6-6.fc20

Patch:

Fedora Security Update FEDORA-2015-6387

https://admin.fedoraproject.org/updates/FEDORA-2015-6387/realmd-0.15.2-2.fc21

CVE-2015-2704: Schwachstelle in realmd erlaubt Umgehen von
Sicherheitsvorkehrungen

realmd verwendet nicht vertrauenswürdige Daten für die Konfiguration von
sssd.conf und/oder smb.conf.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-0577/

Fedora Security Update FEDORA-2015-6339:
https://admin.fedoraproject.org/updates/FEDORA-2015-6339/realmd-0.14.6-6.fc20

Fedora Security Update FEDORA-2015-6387:
https://admin.fedoraproject.org/updates/FEDORA-2015-6387/realmd-0.15.2-2.fc21

Schwachstelle CVE-2015-2704 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-2704

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.