DFN-CERT-2017-0074 Federated Message Bus (fedmsg): Eine Schwachstelle ermöglicht das Umgehen von Sicherheitsvorkehrungen [Linux][Fedora]

DFN-CERT-2017-0074 Federated Message Bus (fedmsg): Eine Schwachstelle ermöglicht das Umgehen von Sicherheitsvorkehrungen [Linux][Fedora]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Federated Message Bus (fedmsg) < 0.18.2 Betroffene Plattformen: Red Hat Fedora 24 Red Hat Fedora 25 Extra Packages for Red Hat Enterprise Linux 7 Ein lokaler, nicht authentifizierter Angreifer kann durch die lokale Konfiguration von 'validate_signatures' für 'FedmsgConsumer' festlegen, ob die Signaturen von Nachrichten von der Basisklasse validiert werden sollen. Diese Vorgabe sollte aus Kindklassen abgeleitet werden, die dortigen Vorgaben werden allerdings ignoriert. Für Fedora 24 und 25 sowie für Fedora EPEL 7 stehen Sicherheitsupdates für das Paket 'fedmsg' auf Version 0.18.2 im Status 'testing' bereit. Patch: Fedora Security Update FEDORA-2017-a73bc7ac5d (Fedora 24, fedmsg-0.18.2-1.fc24) https://bodhi.fedoraproject.org/updates/FEDORA-2017-a73bc7ac5d

Patch:

Fedora Security Update FEDORA-2017-fff6e1af37 (Fedora 25,
fedmsg-0.18.2-1.fc25)

https://bodhi.fedoraproject.org/updates/FEDORA-2017-fff6e1af37

Patch:

Fedora Security Update FEDORA-EPEL-2017-6ee140a6d3 (Fedora EPEL 7,
fedmsg-0.18.2-1.el7)

https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2017-6ee140a6d3

Patch:

fedmsg 0.18.2 Changelog

https://github.com/fedora-infra/fedmsg/blob/7e374467ae4864713fa90667fb129c9563441013/CHANGELOG.rst

CVE-2017-1000001: Schwachstelle in Federated Message Bus (fedmsg) ermöglicht
Umgehen von Sicherheitsvorkehrungen

Die Klasse ‘FedmsgConsumer’ ist eine Erweiterung von Moksha um bestimmte
Funktionalitäten, die unter anderem die Validierung von Nachrichten über
‘fedmsg.crypto’ ermöglichen. Diese Klasse leitet die Notwendigkeit der
Validierung von Nachrichten nur aus der lokalen Konfiguration ab, wenn keine
Kindklassen die Validierung von Nachrichten verlangen. Durch einen
Programmierfehler greift die Basisklasse ‘FedmsgConsumer’ immer auf die
lokale Konfiguration zurück, wenn der Standardwert für ‘validate_signatures’
gesetzt ist, da es in diesem Fall so scheint, als ob alle Kindklassen die
Validierung ausgeschaltet haben.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-0074/

Fedora Security Update FEDORA-2017-a73bc7ac5d (Fedora 24,
fedmsg-0.18.2-1.fc24):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-a73bc7ac5d

Fedora Security Update FEDORA-2017-fff6e1af37 (Fedora 25,
fedmsg-0.18.2-1.fc25):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-fff6e1af37

Fedora Security Update FEDORA-EPEL-2017-6ee140a6d3 (Fedora EPEL 7,
fedmsg-0.18.2-1.el7):
https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2017-6ee140a6d3

Schwachstelle CVE-2017-1000001 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-1000001

fedmsg 0.18.2 Changelog:
https://github.com/fedora-infra/fedmsg/blob/7e374467ae4864713fa90667fb129c9563441013/CHANGELOG.rst

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben