Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

FreeIPA <= 4.2.1 Betroffene Plattformen: Red Hat Fedora 23 Ein entfernter, einfach authentifizierter Angreifer kann durch das Ausnutzen der Schwachstelle Zertifikate und private Schlüssel auf dem Server ausspähen und beliebige Zertifikate mit der IPA CA erstellen. Red Hat stellt für die Distribution Fedora 23 ein Sicherheitsupdate zur Verfügung, um diese Schwachstelle zu schließen. Patch: Fedora Security Update FEDORA-2015-4abcc8b937 (Fedora 23) https://bodhi.fedoraproject.org/updates/FEDORA-2015-4abcc8b937

Patch:

4.2.2 FreeIPA Release

http://www.freeipa.org/page/Releases/4.2.2

CVE-2015-5284: Schwachstelle in FreeIPA ermöglicht Ausspähen und Erstellen
von beliebigen Zertifikaten

Im KRA-Kommando “ipa-kra-install” von FreeIPA, das für die Konfiguration von
KRA für IPA fungiert, besteht eine Schwachstelle aufgrund nicht korrekter
Dateiberechtigungen für gesicherte Zertifikate und privater Schlüssel. Diese
Krypto-Daten werden in einer öffentlich einsehbaren Datei gesichert, die von
angemeldeten Benutzern auf dem Server für die Erstellung beliebiger
Zertifikate mit der IPA CA genutzt werden können.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-1564/

Schwachstelle CVE-2015-5284 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-5284

Fedora Security Update FEDORA-2015-4abcc8b937 (Fedora 23):
https://bodhi.fedoraproject.org/updates/FEDORA-2015-4abcc8b937

4.2.2 FreeIPA Release:
http://www.freeipa.org/page/Releases/4.2.2

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.