DFN-CERT-2017-1127 Jetty: Eine Schwachstelle ermöglicht das Ausspähen von Informationen [Linux][Fedora]

DFN-CERT-2017-1127 Jetty: Eine Schwachstelle ermöglicht das Ausspähen von Informationen [Linux][Fedora]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Jetty 9.4.x

Betroffene Plattformen:

Red Hat Fedora 25
Red Hat Fedora 26

Durch die Verwendung der zeitlich nicht konstanten Funktion ‘Arrays.equals’
zur Verifikation eines Benutzerpassworts existiert eine Schwachstelle in
Jetty, durch die ein entfernter, nicht authentisierter Angreifer ein
Benutzerpasswort ausspähen sowie die Existenz eines Benutzerkontos
nachweisen kann.

Für Fedora 25 und 26 stehen die Pakete ‘ jetty-9.4.6-1.v20170531.fc25’,
‘jetty-alpn-8.1.11-2.v20170118.fc25’, ‘ jetty-test-helper-3.1-3.fc25’ und
‘jetty-9.4.6-1.v20170531.fc26’ als Sicherheitsupdates im Status ‘testing’
bereit.

Patch:

Fedora Security Update FEDORA-2017-03954b6dc4 (Fedora 25,
jetty-9.4.6-1.v20170531, jetty-alpn-8.1.11-2.v20170118,
jetty-test-helper-3.1-3)

https://bodhi.fedoraproject.org/updates/FEDORA-2017-03954b6dc4

Patch:

Fedora Security Update FEDORA-2017-4e2312892e (Fedora 26,
jetty-9.4.6-1.v20170531)

https://bodhi.fedoraproject.org/updates/FEDORA-2017-4e2312892e

CVE-2017-9735: Schwachstelle in Jetty ermöglicht Ausspähen von Informationen

Durch die Verwendung der Funktion ‘Arrays.equals’ in
‘util/security/Password.java’ existiert eine zeitbasierte Schwachstelle in
Jetty, durch die es möglich ist, in einem Seitenkanal-Angriff (Timing
Channel) das Passwort eines Benutzers auszuspähen und auf das Vorhandensein
von Benutzerkonten auf einem System zu schließen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-1127/

Schwachstelle CVE-2017-9735 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-9735

Fedora Security Update FEDORA-2017-03954b6dc4 (Fedora 25,
jetty-9.4.6-1.v20170531, jetty-alpn-8.1.11-2.v20170118,
jetty-test-helper-3.1-3):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-03954b6dc4

Fedora Security Update FEDORA-2017-4e2312892e (Fedora 26,
jetty-9.4.6-1.v20170531):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-4e2312892e

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben