DFN-CERT-2016-0820 Pulp: Mehrere Schwachstellen ermöglichen u.a. das Erlangen von Benutzerrechten [Linux][Fedora]

DFN-CERT-2016-0820 Pulp: Mehrere Schwachstellen ermöglichen u.a. das Erlangen von Benutzerrechten [Linux][Fedora]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Pulp <= 2.8.2 Betroffene Plattformen: Red Hat Fedora 24 Mehrere Schwachstellen in Pulp vor Version 2.8.3 ermöglichen einem lokalen, nicht authentifizierten Angreifer das Ausspähen von sensitiven Informationen und das Erlangen von Benutzerrechten. Ein entfernter, nicht authentifizierter Angreifer kann eine Schwachstelle ausnutzen, um Benutzerrechte auf Pulp-Servern mit Standardeinstellungen vor Version 2.3.0 zu erlangen (CVE-2013-7450). Der Hersteller informiert über die Schwachstellen und gibt detaillierte Anweisungen für das Einspielen des zur Verfügung gestellten Sicherheitsupdates. Die Schwachstelle CVE-2013-7450 wird erneut erwähnt, da Benutzer, die ursprünglich eine Version von Pulp vor 2.3.0 installiert haben, immer noch verwundbar sind, falls in der Zwischenzeit kein neues Wurzelzertifikat (Certificate Authority, CA) generiert wurde. Für Fedora 24 steht ein Sicherheitsupdate für verschiedene Pakete im Kontext von Pulp im Status 'testing' bereit, mit dem Pulp auf Version 2.8.3 aktualisiert wird. Hier wird nur CVE-2016-3111 explizit erwähnt. Das vorherige Sicherheitsupdate für Pulp 2.8.2 befindet sich mittlerweile im Status 'obsolete'. Patch: Fedora Security Update FEDORA-2016-f9db2293a8 (Fedora 24, pulp-2.8.3-1.fc24) https://bodhi.fedoraproject.org/updates/FEDORA-2016-f9db2293a8

Patch:

Pulp 2.8.3 Release Notes

http://pulp.readthedocs.io/en/latest/user-guide/release-notes/2.8.x.html#pulp-2-8-3

CVE-2016-3112: Schwachstelle in Pulp ermöglicht Erlangen von Benutzerrechten

Das Zertifikat und der private Schlüssel, die vom Pulp-Server während des
Registrierungsprozesses für Pulp-Konsumenten ausgegeben werden, werden für
alle Benutzer lesbar nach ‘/etc/pki/pulp/consumer/consumer-cert.pem’
(Berechtigungen 644) geschrieben. Ein lokaler, nicht authentifizierter
Angreifer kann diese Informationen ausspähen und sich in der Folge als
Konsument am Pulp-Server anmelden.

CVE-2016-3108: Schwachstelle in Pulp ermöglicht Ausspähen von Informationen

Das ‘pulp-gen-nodes-certificate’-Skript speichert den privaten Schlüssel bei
der Erstellung des Nodes-Zertifikates für einen kurzen Moment im öffentlich
lesbaren Verzeichnis ‘/tmp’ zwischen. Ein lokaler, nicht authentifizierter
Angreifer kann den privaten Schlüssel während der Erstellung von
Zertifikaten lesen und diesen für weitere Angriffe nutzen.

CVE-2016-3107: Schwachstelle in Pulp ermöglicht Ausspähen von Informationen

Das Wurzelzertifikat von Pulp ist für alle Benutzer lesbar (world-readable)
in ‘/etc/pki/pulp/nodes/’ gespeichert. Ein lokaler, nicht authentifizierter
Angreifer kann Informationen ausspähen.

CVE-2016-3106: Schwachstelle in Pulp ermöglicht u.a. Ausspähen von
Informationen

Das Skript zur Generierung des Pulp CA Zertifikates
‘pulp-gen-ca-certificate’ verwendet den Ordner ‘/tmp/$RANDOM’ mit 32768
Möglichkeiten für ‘$RANDOM’ als Arbeitspfad. Ein lokaler, nicht
authentifizierter Angreifer, der das entsprechende Verzeichnis besitzt, kann
dadurch zunächst das CA Zertifikat und aufgrund einer Wettlaufsituation auch
den später generierten Schlüssel lesen. Darüber hinaus ist ein
Denial-of-Service-Angriff mit Hilfe symbolischer Verknüpfungen des durch das
Skript generierten, zufällig benannten Verzeichnisses möglich.

CVE-2013-7450: Schwachstelle in Pulp ermöglicht Erlangen von Benutzerrechten

Mit Pulp vor Version 2.3.0 werden standardmäßig ein CA-Zertifikat und der
zugehörige private Schlüssel ausgeliefert, die verwendet werden können, um
Klienten-Zertifikate zu erstellen und zu signieren. Das Zertifikat und der
Schlüssel sind öffentlich zugänglich, so dass ein entfernter, nicht
authentifizierter Angreifer Klienten-Zertifikate erstellen kann, die von
einem Pulp-Server in den Standardeinstellungen als gültig erkannt werden.

CVE-2016-3111: Schwachstelle in Pulp ermöglicht Ausspähen von Informationen

In Pulp existiert eine Schwachstelle bezüglich der ‘spec’-Datei bei der
Erzeugung eines RSA-Schlüsselpaares, welches zum Signieren von Nachrichten
des Servers an Konsumenten verwendet wird, die mit Pulp verwaltet werden.
Der Signierschlüssel ist dabei kurzzeitig für alle Benutzer lesbar
(world-readable).

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2016-0820/

Schwachstelle CVE-2016-3107 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3107

Schwachstelle CVE-2016-3108 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3108

Schwachstelle CVE-2016-3111 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3111

Schwachstelle CVE-2016-3112 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3112

Schwachstelle CVE-2013-7450 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-7450

Fedora Security Update FEDORA-2016-f9db2293a8 (Fedora 24, pulp-2.8.3-1.fc24):
https://bodhi.fedoraproject.org/updates/FEDORA-2016-f9db2293a8

Pulp 2.8.3 Release Notes:
http://pulp.readthedocs.io/en/latest/user-guide/release-notes/2.8.x.html#pulp-2-8-3

Schwachstelle CVE-2016-3106 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3106

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben