Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Betroffene Software:
Apache Commons HTTPClient 3.1
Betroffene Plattformen:
Canonical Ubuntu Linux 12.04 Lts
Canonical Ubuntu Linux 14.04 Lts
Canonical Ubuntu Linux 15.04
Mehrere Schwachstellen in Apache Commons HTTPClient ermöglichen einem
entfernten, nicht authentisierten Angreifer einen Man-in-the-Middle-Angriff
oder einen Denial-of-Service-Angriff durchzuführen sowie Clients auf einen
falschen und potentiell schädlichen Host umzuleiten.
Canonical stellt Sicherheitsupdates für die Distributionen Ubuntu 15.04,
Ubuntu 14.04 LTS und Ubuntu 12.04 LTS bereit.
Patch:
Ubuntu Security Notice USN-2769-1
http://www.ubuntu.com/usn/usn-2769-1/
CVE-2015-5262: Schwachstelle in Jakarta Commons HTTPClient ermöglicht
Denial-of-Service-Angriff
Es besteht eine Schwachstelle im Apache Commons HTTPClient, die
Zeitüberschreitungen im Verbindungsaufbau fehlerhaft behandelt. Ein
entfernter, nicht authentisierter Angreifer kann die Schwachstelle ausnutzen
und mit Hilfe einer hohen Anzahl von bewusst herbeigeführten
Verbindungsabbrüchen einen Denial-of-Service Angriff durchführen.
CVE-2014-3577: Schwachstelle in Apache Commons HTTPClient
Eine Schwachstelle im Apache Commons HTTPClient besteht darin, dass die
Überprüfung des Hostnames anfällig für Man-in-the-Middle-Angriffe ist. Ein
entfernter, nicht authentisierter Angreifer kann die Schwachstelle
ausnutzen, um einen Benutzer des HTTPClients auf einen falschen und
potentiell schädlichen Host umzuleiten, wodurch weitere, nicht näher
spezifizierte Angriffe möglich werden.
CVE-2012-6153: Schwachstelle in Apache Commons HTTPClient
Eine Schwachstelle im Apache Commons HTTPClient besteht darin, dass die
Überprüfung des Hostnames anfällig für Man-in-the-Middle-Angriffe ist. Ein
entfernter, nicht authentisierter Angreifer kann die Schwachstelle
ausnutzen, um einen Benutzer des HTTPClients auf einen falschen und
potentiell schädlichen Host umzuleiten, wodurch weitere, nicht näher
spezifizierte Angriffe möglich werden.
CVE-2012-5783: Schwachstelle in HTTPClient erlaubt Umgehen von
Sicherheitsvorkehrungen
Im HTTPClient von den Jakarta Commons wird es versäumt, den Hostnamen eines
Servers mit dem angegebenen Domain-Namen aus dem ‘Common Name’ (CN) des
X.509-Zertifikats zu vergleichen. Einem entfernten, nicht authentisierten
Angreifer ist es mittels eines beliebigen gültigen Zertifikats möglich einen
Man-in-Middle-Angriff durchzuführen.
CVE-2012-5783: Schwachstelle in HTTPClient erlaubt Umgehen von
Sicherheitsvorkehrungen
Im HTTPClient von den Jakarta Commons wird es versäumt, den Hostnamen eines
Servers mit dem angegebenen Domain-Namen aus dem ‘Common Name’ (CN) des
X.509-Zertifikats zu vergleichen. Einem entfernten, nicht authentisierten
Angreifer ist es mittels eines beliebigen gültigen Zertifikats möglich einen
Man-in-Middle-Angriff durchzuführen.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-1595/
Schwachstelle CVE-2012-5783 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2012-5783
Schwachstelle CVE-2012-6153 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2012-6153
Schwachstelle CVE-2014-3577 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3577
Schwachstelle CVE-2015-5262 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-5262
Ubuntu Security Notice USN-2769-1:
http://www.ubuntu.com/usn/usn-2769-1/
(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.
