DFN-CERT-2017-0383 rpm-ostree: Eine Schwachstelle ermöglicht das Umgehen von Sicherheitsvorkehrungen [Linux][RedHat]

DFN-CERT-2017-0383 rpm-ostree: Eine Schwachstelle ermöglicht das Umgehen von Sicherheitsvorkehrungen [Linux][RedHat]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

rpm-ostree

Betroffene Plattformen:

Red Hat Enterprise Linux Atomic Host 7

Ein entfernter, nicht authentifizierter Angreifer kann nicht oder fehlerhaft
signierte Pakete zur Verfügung stellen, die von rpm-ostree entgegen der
Erwartung in bestimmten Prozessen nicht abgelehnt werden, und dadurch
Sicherheitsvorkehrungen umgehen.

Red Hat informiert über die Schwachstelle und stellt ein Sicherheitsupdate
für Red Hat Enterprise Linux Atomic Host 7 zur Verfügung. Red Hat Enterprise
Linux Atomic Host 7 verwendet Zertifikatspinning, wodurch die Schwachstelle
auch ohne das Sicherheitsupdate teilweise mitigiert wird.

Patch:

Red Hat Security Advisory RHSA-2017:0444

https://access.redhat.com/errata/RHSA-2017:0444

CVE-2017-2623: Schwachstelle in rpm-ostree ermöglicht Umgehen von
Sicherheitsvorkehrungen

Bei der Paketschichtung (Package Layering) werden GPG-Signaturen nicht
geprüft.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-0383/

Red Hat Security Advisory RHSA-2017:0444:
https://access.redhat.com/errata/RHSA-2017:0444

Schwachstelle CVE-2017-2623 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-2623

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben