DFN-CERT-2015-1431 Apple Xcode: Mehrere Schwachstellen ermöglichen das Umgehen von Sicherheitsvorkehrungen [Apple]

DFN-CERT-2015-1431 Apple Xcode: Mehrere Schwachstellen ermöglichen das Umgehen von Sicherheitsvorkehrungen [Apple]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Apple Xcode Tools < 7.0 OpenSSL Project OpenSSL < 1.0.1j Betroffene Plattformen: Apple Mac OS X >= 10.10.4

Mehrere Schwachstellen in Xcode ermöglichen einem entfernten, nicht
authentifizierten Angreifer Sicherheitsvorkehrungen zu umgehen,
Informationen auszuspähen, falsche Informationen darzustellen und
Denial-of-Service (DoS)-Angriffe sowie weitere, nicht spezifizierte Angriffe
durchzuführen. Die OpenSSL-Schwachstellen CVE-2014-3513, CVE-2014-3566 und
CVE-2014-3568 werden bereits seit Längerem ausgenutzt.

Apple stellt ein Sicherheitsupdate auf Xcode 7.0 für Mac OS X Yosemite
v10.10.4 und später zur Verfügung, mit dem unter anderem das OpenSSL-Modul
auf Version 1.0.1j aktualisiert wird.

Patch:

Xcode Download Seite

https://developer.apple.com/xcode/downloads/

Patch:

Apple Security Advisory APPLE-SA-2015-09-16-2 (Xcode 7.0)

https://support.apple.com/de-de/HT205217

CVE-2015-5910: Schwachstelle in IDE Xcode Server erlaubt Ausspähen von
Informationen und Manipulation von Daten

Im IDE Xcode Server besteht eine Schwachstelle darin, dass Verbindungen zum
Xcode Server ohne Verschlüsselung aufgebaut werden können. Ein entfernter,
nicht authentisierter Angreifer, als Man-in-the-Middle (MitM), kann dadurch
in den Netzwerkverkehr zum Xcode Server eingreifen, wodurch ihm das
Ausspähen von Informationen und die Manipulation von Daten möglich ist.

CVE-2015-5909: Schwachstelle in IDE Xcode Server erlaubt Ausspähen von
Informationen

Im IDE Xcode Server besteht eine Schwachstelle in der Behandlung von
Repository Email-Listen. Hierdurch ist es möglich, dass Build-Informationen
an unbeabsichtigte Empfänger gesandt werden. Ein entfernter, nicht
authentisierter Angreifer kann an Informationen gelangen, die nicht für ihn
bestimmt sind.

CVE-2014-6394: Schwachstelle in Node.js erlaubt Umgehen von
Sicherheitsvorkehrungen

Das Node.js Visionmedia Send Modul bevor 0.8.4 führt lediglich einen
teilweisen Vergleich durch, um zu überprüfen, ob ein Verzeichnis sich
innerhalb der Dokumentenwurzel (“document root”) befindet. Hierdurch ist es
einem entfernten, nicht authentisierten Angreifer möglich, auf Verzeichnisse
zuzugreifen, für die der Zugriff eigentlich beschränkt ist. Dies ist zum
Beispiel der Fall für “public-restricted” unterhalb eines
“public”-Verzeichnisses.

CVE-2015-3185: Schwachstelle im HTTP-Server ermöglicht das Umgehen von
Sicherheitsmaßnahmen

Ein Designfehler im Apache HTTP-Server führt dazu, dass die API Anfragen
durchlässt, die eigentlich keine Berechtigung in der Konfiguration haben.
Die Dokumentation sagt aus, dass die API antworten muss, wenn die
erforderlichen “Require”-Zeilen in der Konfigurationsdatei vorhanden sind.
Seit der Version 2.4.x werden sie außerdem für die Autorisierung in der
Konfigurationsdatei genutzt, selbst dann, wenn keine Authentisierung
notwendig ist. Das kann dazu führen, dass Module, die diese API integriert
haben, Zugang gewähren, obwohl sie es eigentlich nicht sollten. Ein
entfernter, nicht authentisierter Angreifer kann Sicherheitsvorkehrungen
umgehen.

CVE-2015-0251: Schwachstelle in Subversion in mod_dav_svn ermöglicht das
Darstellen falscher Informationen

Eine Schwachstelle in mod_dav_svn ermöglicht das Eintragen beliebiger Werte
in das Eigenschaftenfeld ‘svn:author’, wenn eine neue Revision eingecheckt
wird. Durch diese Schwachstelle werden keine Zugriffsbeschränkungen oder
Authentifizierungen umgangen. Ein entfernter, authentifizierter Angreifer
kann falsche Informationen darstellen.

CVE-2015-0248: Schwachstelle in Subversion in mod_dav_svn und svnserve
ermöglicht Denial-of-Service

Eine Schwachstelle in Subversion in dem Modul mod_dav_svn und dem svnserve
Server ermöglicht das Hervorrufen eines Zusicherungsfehlers (Assertion),
welcher zu einem Prozess-Absturz führt. Die Ursache ist eine unzulässige
Kombination verschiedener Anfrage-Parameter, die serverseitig interpretiert
werden. Ein entfernter, nicht authentifizierter Angreifer kann einen
partiellen Denial-of-Service-Zustand bewirken.

CVE-2014-3568: Schwachstelle in der Auswertung von Kompilationsvorgaben in
OpenSSL

Auch wenn OpenSSL mit der Option “no-ssl3” kompiliert wird, ist es Servern
trotzdem möglich, SSL 3.0 Verhandlungen zu akzeptieren und zum Abschluss zu
bringen und Clients ist es möglich, solche Verhandlungen anzustoßen. Ein
entfernter, nicht authentifizierter Angreifer kann diese Schwachstelle
ausnutzen, wenn die Benutzer der Software ausschließlich auf die
Kompilationsoption vertrauen und SSL 3.0 nicht explizit für Verhandlungen in
der Konfiguration verbieten, da das Protokoll als unsicher gilt.

CVE-2014-3567: Schwachstelle in der Speicherverwaltung von OpenSSL
ermöglicht DoS-Angriffe

Ein mit OpenSSL geschützter Server gibt Speicher nicht wieder frei, wenn die
Integritätsprüfung eines empfangenen Sitzungstickets fehlschlägt. Ein
entfernter, nicht authentifizierter Angreifer kann diese Schwachstelle
ausnutzen, um einen Denial-of-Service-Zustand herbeizuführen, indem er eine
große Anzahl von ungültigen Sitzungstickets an den Server sendet.

CVE-2014-3513: Schwachstelle in der DTLS SRTP Erweiterung von OpenSSL
ermöglicht DoS-Angriffe

Eine Schwachstelle in der DTLS SRTP Erweiterung von OpenSSL beruht darauf,
dass bei dem Empfang bestimmter Handshake-Nachrichten bis zu 64Kb Speicher
nicht freigegeben werden. Ein entfernter, nicht authentifizierter Angreifer
kann diese Schwachstelle ausnutzen, um mittels speziell präparierter
Nachrichten einen Denial-of-Service-Zustand herbeizuführen. Betroffen sind
die OpenSSL-Versionen 1.0.1 bevor 1.0.1j, die nicht mit OPENSSL_NO_SRTP
kompiliert wurden. Die Schwachstelle kann unabhängig davon, ob SRTP benutzt
wird oder konfiguriert ist, ausgenutzt werden.

CVE-2014-3566: POODLE: SSL 3.0 Protokoll, wie z.B. in OpenSSL verwendet,
ermöglicht das Ausspähen von Informationen

Das SSL 3.0 Protokoll, so wie es u.a. von OpenSSL bis Version 1.0.1i
implementiert wird, benutzt nicht deterministisches “Padding”. Padding ist
das Auffüllen der Nachricht mit Bytes bis zur nächsten vollen Blockgrenze
für Kryptoalgorithmen im CBC-Modus (Cipher-Block-Chaining). Dieses Padding
wird nicht durch den MAC (Message Authentication Code), d.h. eine
kryptografische Prüfsumme, überprüft. Der Empfänger von verschlüsselten
Nachrichten kann also die Integrität des Paddings nicht vollständig
überprüfen. Diese Schwäche des SSL 3.0 Protokolls kann von einem entfernten,
nicht authentifizierten Angreifer in einem Man-in-the-middle-Angriff
ausgenutzt werden, um Teile der Nachricht im Klartext zu erhalten, indem er
das Padding entsprechend modifiziert (Padding-Oracle-Angriff). Diese
Protokollschwäche wurde von seinen Entdeckern “POODLE” getauft.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-1431/

Schwachstelle CVE-2014-6394 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-6394

Schwachstelle CVE-2014-3513 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3513

Schwachstelle CVE-2014-3566 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3566

Schwachstelle CVE-2014-3567 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3567

Schwachstelle CVE-2014-3568 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3568

Xcode Download Seite:
https://developer.apple.com/xcode/downloads/

Schwachstelle CVE-2015-0248 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0248

Schwachstelle CVE-2015-0251 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0251

Schwachstelle CVE-2015-3185 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-3185

Apple Security Advisory APPLE-SA-2015-09-16-2 (Xcode 7.0):
https://support.apple.com/de-de/HT205217

Schwachstelle CVE-2015-5909 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-5909

Schwachstelle CVE-2015-5910 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-5910

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben