Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

OpenSAML-Java

Betroffene Plattformen:

Red Hat Fedora 21
Red Hat Fedora 22

Ein entfernter, nicht authentisierter Angreifer kann diese Schwachstelle
ausnutzen, um Sicherheitsvorkehrungen zu umgehen. Für Fedora 21, 22 werden
Sicherheitsupdates in Form der Pakete opensaml-java-openws-1.5.5-2.fc21,
opensaml-java-2.5.3-9.fc21, opensaml-java-2.5.3-9.fc22 und
opensaml-java-openws-1.5.5-2.fc22 im Status ‘testing’ zur Verfügung
gestellt.

Patch:

Fedora Security Update FEDORA-2015-10175

https://admin.fedoraproject.org/updates/FEDORA-2015-10175/opensaml-java-openws-1.5.5-2.fc21,opensaml-java-2.5.3-9.fc21

Patch:

Fedora Security Update FEDORA-2015-10235

https://admin.fedoraproject.org/updates/FEDORA-2015-10235/opensaml-java-2.5.3-9.fc22,opensaml-java-openws-1.5.5-2.fc22

CVE-2014-3603: Schwachstelle in OpenSAML-Java erlaubt Umgehen von
Sicherheitsvorkehrungen

Eine Schwachstelle in OpenSAML-Java besteht darin, dass für
HTTPS-Verbindungen über HTTP-Resourcen keine Überprüfung von Hostnamen
stattfindet.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-0902/

Fedora Security Update FEDORA-2015-10175:
https://admin.fedoraproject.org/updates/FEDORA-2015-10175/opensaml-java-openws-1.5.5-2.fc21,opensaml-java-2.5.3-9.fc21

Fedora Security Update FEDORA-2015-10235:
https://admin.fedoraproject.org/updates/FEDORA-2015-10235/opensaml-java-2.5.3-9.fc22,opensaml-java-openws-1.5.5-2.fc22

Schwachstelle CVE-2014-3603 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3603

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.