DFN-CERT-2016-0858 Symfony: Zwei Schwachstellen ermöglichen u.a. das Umgehen von Sicherheitsvorkehrungen [Linux][Debian]

DFN-CERT-2016-0858 Symfony: Zwei Schwachstellen ermöglichen u.a. das Umgehen von Sicherheitsvorkehrungen [Linux][Debian]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Symfony <= 2.3.40 Symfony <= 2.6.12 Symfony <= 2.7.12 Symfony <= 2.8.5 Symfony <= 3.0.5 Betroffene Plattformen: Debian Linux 8.4 Jessie Debian Linux 9.0 Stretch Zwei Schwachstellen in unterschiedlichen Versionen von Symfony ermöglichen einem entfernten, nicht authentifizierten Angreifer das Umgehen von Sicherheitsvorkehrungen und einen Denial-of-Service-Angriff. Debian stellt für Debian Jessie (stable) ein Backport-Sicherheitsupdate und für Debian Stretch (testing) ein Sicherheitsupdate auf Version 2.8.6 bereit. Patch: Debian Security Advisory DSA-3588-1 https://www.debian.org/security/2016/dsa-3588

CVE-2016-1902: Schwachstelle in Symfony ermöglicht Umgehen von
Sicherheitsvorkehrungen

Es existiert eine Schwachstelle in der Klasse SecureRandom in Symfony, wenn
Symfony unter PHP 5.x verwendet wird und die Bibliothek
“paragonie/random_compat” nicht in den Composer-Abhängigkeiten aufgelistet
ist. Dadurch kann es im Laufe der Fallback-Mechanismen in Abhängigkeit zu
den PHP Einstellungen dazu kommen, dass Symfony für die Erstellung von
Zufallszahlen die Methoden “uniqid” und “mt_rand” verwendet, welche
kryptografisch ungeeignet sind. Ein entfernter, nicht authentifizierter
Angreifer kann Sicherheitsvorkehrungen umgehen.

CVE-2016-4423: Schwachstelle in Symfony ermöglicht Denial-of-Service-Angriff

Es existiert eine Schwachstelle in der Sicherheitskomponente von Symfony,
weil Benutzernamen in der Länge nicht limitiert sind. Übermittelt ein nicht
existenter Benutzer ein Authentifizierungsformular, wird der Benutzername in
der Session gespeichert. Ein entfernter, nicht authentifizierter Angreifer
kann die fehlende Beschränkung ausnutzen und wiederholt Anfragen mit langen
Benutzernamen an ein betroffenes System senden, wodurch der Session-Speicher
aufgebraucht und der Dienst in einen Denial-of-Service-Zustand versetzt
werden kann.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2016-0858/

Schwachstelle CVE-2016-4423 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-4423

Schwachstelle CVE-2016-4423 (Symfony-Blog):
http://symfony.com/blog/cve-2016-4423-large-username-storage-in-session

Debian Security Advisory DSA-3588-1:
https://www.debian.org/security/2016/dsa-3588

Schwachstelle CVE-2016-1902 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-1902

Schwachstelle CVE-2016-1902 (Symfony-Blog):
http://symfony.com/blog/cve-2016-1902-securerandom-s-fallback-not-secure-when-openssl-fails

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben