DFN-CERT-2016-0123 Chrony: Eine Schwachstelle ermöglicht die Darstellung falscher Informationen [Linux][Fedora]

DFN-CERT-2016-0123 Chrony: Eine Schwachstelle ermöglicht die Darstellung falscher Informationen [Linux][Fedora]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Chrony <= 1.31.1 Chrony <= 2.2 Betroffene Plattformen: Red Hat Fedora 22 Red Hat Fedora 23 Ein entfernter, einfach authentifizierter Angreifer kann falsche Informationen darstellen und in bestimmten Situationen Sicherheitsvorkehrungen umgehen. Die Chrony Versionen 2.2.1 und !.31.2 adressieren dieses Problem. Fedora stellt für die Distribution Fedora 23 das Paket chrony-2.1.1-2.fc23 als Sicherheitsupdate im Status 'testing' bereit. Für die Distribution Fedora 22 steht das Paket chrony-2.1.1-2.fc22 als Sicherheitsupdate im Status 'pending' zur Verfügung. Patch: Chrony Release Notes 2.2.1, 1.31.2 http://chrony.tuxfamily.org/news.html#_20_jan_2016_chrony_2_2_1_and_chrony_1_31_2_released

Patch:

Fedora Security Update FEDORA-2016-6a0b0ab775 (Fedora 23)

https://bodhi.fedoraproject.org/updates/FEDORA-2016-6a0b0ab775

Patch:

Fedora Security Update FEDORA-2016-6f783d1768 (Fedora 22)

https://bodhi.fedoraproject.org/updates/FEDORA-2016-6f783d1768

CVE-2016-1567: Schwachstelle in Chrony ermöglicht Darstellung falscher
Informationen

Chrony verwendet symmetrische Kryptoschlüssel zur Authentifizierung im
Client-Server-Modell. Dabei soll ein vertrauenswürdiger Schlüssel eindeutig
einem Server zugeordnet werden, Chrony prüft allerdings nicht die
Zugehörigkeit des vertrauenswürdigen Schlüssels zur Kontaktadresse, so dass
ein vertrauenswürdiger Schlüssel im System zur Authentifizierung weiterer
Adressen verwendet werden kann. Dies führt dazu, dass ein Klient von einem
Server angegriffen werden kann, der mit seinem eigenen Schlüssel andere
Server imitiert und umgekehrt. Falls in der Liste der vertrauenswürdigen
Schlüssel ein Schlüssel enthalten ist, der mit einem schwachen Algorithmus
(z.B. md5) verschlüsselt wurde, kann ein Angreifer dieses Verhalten
ausnutzen, um die anderen, stärkeren Verschlüsselungen zu umgehen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2016-0123/

Chrony Release Notes 2.2.1, 1.31.2:
http://chrony.tuxfamily.org/news.html#_20_jan_2016_chrony_2_2_1_and_chrony_1_31_2_released

Fedora Security Update FEDORA-2016-6a0b0ab775 (Fedora 23):
https://bodhi.fedoraproject.org/updates/FEDORA-2016-6a0b0ab775

Fedora Security Update FEDORA-2016-6f783d1768 (Fedora 22):
https://bodhi.fedoraproject.org/updates/FEDORA-2016-6f783d1768

Schwachstelle CVE-2016-1567 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-1567

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben