DFN-CERT-2015-1026 Novell GroupWise: Mehrere Schwachstellen ermöglichen Cross-Site-Scripting-Angriffe und das Ausspähen von Informationen [Linux][SuSE][Windows]

DFN-CERT-2015-1026 Novell GroupWise: Mehrere Schwachstellen ermöglichen Cross-Site-Scripting-Angriffe und das Ausspähen von Informationen [Linux][SuSE][Windows]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Novell GroupWise <= 2012 SP3 HP1 Novell GroupWise <= 2014 SP1 HP1 Betroffene Plattformen: Novell Open Enterprise Server 2 Novell Open Enterprise Server 11 Microsoft Windows 7 Microsoft Windows 8 Microsoft Windows Server 2003 R2 Microsoft Windows Server 2008 R2 Microsoft Windows Server 2008 R2 Enterprise Microsoft Windows Server 2012 Microsoft Windows Server 2012 R2 Microsoft Windows XP SUSE Linux Enterprise Desktop 11 SUSE Linux Enterprise Server 10 SUSE Linux Enterprise Server 11 Durch mehrere Schwachstellen in GroupWise ist es einem entfernten, nicht authentifizierten Angreifer möglich, Informationen auszuspähen oder Cross-Site-Scripting (XSS)-Angriffe durchzuführen. Novell stellt GroupWise 2012 Support Pack 4 (GW 2014 SP2) und GroupWise 2014 Support Pack 2 (GW 2012 SP4) in verschiedenen Varianten für verschiedene Microsoft Windows und SUSE Enterprise Linux Plattformen zur Verfügung, um diese Schwachstellen zu beheben. Patch: Novell Security Advisory Novell-ADV-5214390 (GW 2014 SP2 - Windows Client Multilingual) https://download.novell.com/Download?buildid=lV8c71H58Dg~

Patch:

Novell Security Advisory Novell-ADV-5214430 (GW 2014 SP2 – Linux Full
Multilingual)

https://download.novell.com/Download?buildid=BtFb4ujh8x0~

Patch:

Novell Security Advisory Novell-ADV-5214470 (GW 2012 SP4 – Linux Full
English & Multilingual)

https://download.novell.com/Download?buildid=atRZf4SGjxY~

Patch:

Novell Security Advisory Novell-ADV-5214490 (GW 2012 SP4 – Windows Client
English & Multilingual)

https://download.novell.com/Download?buildid=476IczXGJFc~

Patch:

Novell Security Advisory Novell-ADV-5214530 (GW 2014 SP2 – Windows Full
Multilingual)

https://download.novell.com/Download?buildid=SGYULBtBMaU~

Patch:

Novell Security Advisory Novell-ADV-5214550 (GW 2012 SP4 – Windows Full EN
and Multilingual)

https://download.novell.com/Download?buildid=Zl8580Kelx4~

CVE-2014-0611: Schwachstellen in WebAccess erlauben Cross-Site-Scripting

In WebAccess wurden mehrere Cross-Site-Scripting (XSS)-Schwachstellen
festgestellt, welche es einem entfernten, nicht authentisierten Angreifer
ermöglichen, beliebigen JavaScript-Code im Kontext der WebAccess-Sitzung
eines Benutzers auszuführen.

CVE-2014-3566: POODLE: SSL 3.0 Protokoll, wie z.B. in OpenSSL verwendet,
ermöglicht das Ausspähen von Informationen

Das SSL 3.0 Protokoll, so wie es u.a. von OpenSSL bis Version 1.0.1i
implementiert wird, benutzt nicht deterministisches “Padding”. Padding ist
das Auffüllen der Nachricht mit Bytes bis zur nächsten vollen Blockgrenze
für Kryptoalgorithmen im CBC-Modus (Cipher-Block-Chaining). Dieses Padding
wird nicht durch den MAC (Message Authentication Code), d.h. eine
kryptografische Prüfsumme, überprüft. Der Empfänger von verschlüsselten
Nachrichten kann also die Integrität des Paddings nicht vollständig
überprüfen. Diese Schwäche des SSL 3.0 Protokolls kann von einem entfernten,
nicht authentifizierten Angreifer in einem Man-in-the-middle-Angriff
ausgenutzt werden, um Teile der Nachricht im Klartext zu erhalten, indem er
das Padding entsprechend modifiziert (Padding-Oracle-Angriff). Diese
Protokollschwäche wurde von seinen Entdeckern “POODLE” getauft.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-1026/

Schwachstelle CVE-2014-3566 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3566

Novell Security Advisory Novell-ADV-5214390 (GW 2014 SP2 – Windows Client
Multilingual):
https://download.novell.com/Download?buildid=lV8c71H58Dg~

Novell Security Advisory Novell-ADV-5214430 (GW 2014 SP2 – Linux Full
Multilingual):
https://download.novell.com/Download?buildid=BtFb4ujh8x0~

Novell Security Advisory Novell-ADV-5214470 (GW 2012 SP4 – Linux Full English
& Multilingual):
https://download.novell.com/Download?buildid=atRZf4SGjxY~

Novell Security Advisory Novell-ADV-5214490 (GW 2012 SP4 – Windows Client
English & Multilingual):
https://download.novell.com/Download?buildid=476IczXGJFc~

Novell Security Advisory Novell-ADV-5214530 (GW 2014 SP2 – Windows Full
Multilingual):
https://download.novell.com/Download?buildid=SGYULBtBMaU~

Novell Security Advisory Novell-ADV-5214550 (GW 2012 SP4 – Windows Full EN and
Multilingual):
https://download.novell.com/Download?buildid=Zl8580Kelx4~

Schwachstelle CVE-2014-0611 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0611

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben