Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Quagga

Betroffene Plattformen:

SUSE Linux Enterprise Software Development Kit 12
SUSE Linux Enterprise Software Development Kit 12 SP1
SuSE SUSE Linux Enterprise Software Development Kit 11 SP4
SUSE Linux Enterprise Server 11 SP4
SUSE Linux Enterprise Server 12
SUSE Linux Enterprise Server 12 SP1

Ein lokaler, nicht authentifizierter Angreifer hat Lesezugriff auf die
Dateien im Verzeichnis ‘/etc/quagga’ und kann dadurch sensitive
Informationen ausspähen und dadurch möglicherweise weitere Angriffe
ausführen.

Für die SUSE Linux Enterprise Produkte Server und Software Development Kit
in den Versionen 11 SP4, 12 und 12 SP1 stehen Sicherheitsupdates bereit.

Patch:

SUSE Security Update SUSE-SU-2016:0953-1

https://www.suse.com/support/update/announcement/2016/suse-su-20160953-1.html

Patch:

SUSE Security Update SUSE-SU-2016:0954-1

https://www.suse.com/support/update/announcement/2016/suse-su-20160954-1.html

SUSE-BUG-ID-770619: Schwachstelle in Quagga ermöglicht Ausspähen von
Informationen

Die Inhalte des Verzeichnisses ‘/etc/quagga’ können uneingeschränkt
eingesehen werden (world-readable, Zugriffsrechte 644). In der Datei
‘/etc/quagga/zebra.conf’ befinden sich auch Passwörter.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2016-0563/

SUSE Security Update SUSE-SU-2016:0953-1:
https://www.suse.com/support/update/announcement/2016/suse-su-20160953-1.html

SUSE Security Update SUSE-SU-2016:0954-1:
https://www.suse.com/support/update/announcement/2016/suse-su-20160954-1.html

SUSE Bug 770619:
https://bugzilla.suse.com/show_bug.cgi?id=770619

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.