DFN-CERT-2016-0171 Novell Identity Manager: Mehrere Schwachstellen ermöglichen u.a. das Ausspähen von Informationen [Linux][RedHat][SuSE][Windows]

DFN-CERT-2016-0171 Novell Identity Manager: Mehrere Schwachstellen ermöglichen u.a. das Ausspähen von Informationen [Linux][RedHat][SuSE][Windows]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Novell Identity Manager <= 4.5.2 Betroffene Plattformen: Microsoft Windows 7 Microsoft Windows 8 Microsoft Windows Server 2012 R2 SUSE Linux Enterprise Server 11 SUSE Linux Enterprise Server 12 Red Hat Enterprise Linux 6 Red Hat Enterprise Linux 7 Eine Schwachstelle im SSL-3.0-Protokoll, die als 'POODLE' bekannt ist, betrifft auch die Komponenten 'Engine & Remote Loader Service' und 'Identity Applications' des Novell Identity Managers sowie 'Designer for Identity Manager'. Darüber hinaus existieren zwei nicht näher beschriebene Schwachstellen in Novell Identity Manager, die einem Angreifer nicht spezifizierte Angriffe ermöglichen. Novell stellt zur Behebung dieser Schwachstellen das Service Pack 3 für Novell Identity Manager 4.5 bereit. Patch: Novell Security Advisory Novell-ADV-5233170 https://download.novell.com/Download?buildid=Rjs_0SapjGg~

Patch:

Novell Security Advisory Novell-ADV-5233171

https://download.novell.com/Download?buildid=N63wVOwZf_s~

Patch:

Novell Security Advisory Novell-ADV-5233172

https://download.novell.com/Download?buildid=QgHXVOxv310~

CVE-2016-1592: Schwachstelle in Novell Identity Manager ermöglicht nicht
näher spezifizierte Angriffe

Es existiert eine nicht näher beschriebene Schwachstelle in Novell Identity
Manager. Ein Angreifer kann durch Ausnutzen dieser Schwachstelle nicht näher
spezifizierte Angriffe durchführen.

CVE-2015-0787: Schwachstelle in Novell Identity Manager ermöglicht nicht
näher spezifizierte Angriffe

Es existiert eine nicht näher beschriebene Schwachstelle in Novell Identity
Manager. Ein Angreifer kann durch Ausnutzen dieser Schwachstelle nicht näher
spezifizierte Angriffe durchführen.

CVE-2014-3566: POODLE: SSL 3.0 Protokoll, wie z.B. in OpenSSL verwendet,
ermöglicht das Ausspähen von Informationen

Das SSL 3.0 Protokoll, so wie es u.a. von OpenSSL bis Version 1.0.1i
implementiert wird, benutzt nicht deterministisches “Padding”. Padding ist
das Auffüllen der Nachricht mit Bytes bis zur nächsten vollen Blockgrenze
für Kryptoalgorithmen im CBC-Modus (Cipher-Block-Chaining). Dieses Padding
wird nicht durch den MAC (Message Authentication Code), d.h. eine
kryptografische Prüfsumme, überprüft. Der Empfänger von verschlüsselten
Nachrichten kann also die Integrität des Paddings nicht vollständig
überprüfen. Diese Schwäche des SSL 3.0 Protokolls kann von einem entfernten,
nicht authentifizierten Angreifer in einem Man-in-the-middle-Angriff
ausgenutzt werden, um Teile der Nachricht im Klartext zu erhalten, indem er
das Padding entsprechend modifiziert (Padding-Oracle-Angriff). Diese
Protokollschwäche wurde von seinen Entdeckern “POODLE” getauft.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2016-0171/

Schwachstelle CVE-2014-3566 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3566

Schwachstelle CVE-2015-0787 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0787

Novell Security Advisory Novell-ADV-5233170:
https://download.novell.com/Download?buildid=Rjs_0SapjGg~

Novell Security Advisory Novell-ADV-5233171:
https://download.novell.com/Download?buildid=N63wVOwZf_s~

Novell Security Advisory Novell-ADV-5233172:
https://download.novell.com/Download?buildid=QgHXVOxv310~

Schwachstelle CVE-2016-1592 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-1592

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben