DFN-CERT-2017-1722 Novell eDirectory: Mehrere Schwachstellen ermöglichen u.a. die Durchführung eines Denial-of-Service-Angriffs [Linux][RedHat][SuSE][Windows]

DFN-CERT-2017-1722 Novell eDirectory: Mehrere Schwachstellen ermöglichen u.a. die Durchführung eines Denial-of-Service-Angriffs [Linux][RedHat][SuSE][Windows]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Novell eDirectory < 9.0.4 Betroffene Plattformen: Microsoft Windows Server 2012 R2 Microsoft Windows Server 2016 SUSE Linux Enterprise Server 11 SUSE Linux Enterprise Server 12 Red Hat Enterprise Linux 6 Red Hat Enterprise Linux 7 Zwei Schwachstellen im Novell eDirectory ermöglichen einem entfernten, nicht authentisierten Angreifer die Durchführung eines Denial-of-Service (DoS)- und eines Man-in-the-Middle (MitM)-Angriffs. Eine Schwachstelle erlaubt eventuell weitere, nicht näher spezifizierte Angriffe. Novell stellt das eDirectory in der Version 9.0.4 als Sicherheitsupdate bereit. Informationen zu der Schwachstelle CVE-2017-9285 sind bisher nur eingeschränkt verfügbar (Restriction Status: Restricted). Patch: Novell-ADV-5333891: eDirectory 9.0.4 https://download.novell.com/Download?buildid=WKnTKcctISw~

CVE-2017-9285: Schwachstelle in Novell eDirectory ermöglicht nicht
spezifizierte Angriffe

Im Novell eDirectory existiert eine nicht näher beschriebene Schwachstelle.
Ein möglicherweise entfernter, nicht authentisierter Angreifer kann nicht
spezifizierte Angriffe durchführen.

CVE-2016-9277: Schwachstelle in Samsung UI ermöglicht
Denial-of-Service-Angriff

Eine Ganzzahlenüberlauf (Integer Overflow)-Schwachstelle in der Samsung UI
auf Geräten der Samsung Note Serie ermöglichen es einem entfernten, nicht
authentisierten Angreifer einen Array-Index außerhalb der gültigen
Speichergrenzen zu berechnen, wodurch ein Denial-of-Service (DoS)-Zustand
provoziert werden kann.

CVE-2009-3555: Schwachstelle im TLS-Protokoll erlaubt
Man-in-the-Middle-Angriffe

Bei der Neuaushandlung von Parametern in einer SSL- oder TLS-Session
(Renegotiation) wird das Client-Zertifikat geprüft. Allerdings ist es
aufgrund einer Schwachstelle im TLS-Protokoll unter Umständen möglich, dass
vorher beliebige Daten in die TLS-Session eingeschleust werden. Dies
ermöglicht Man-in-the-Middle-Angriffe auf die TLS-Session. Beim
HTTPS-Protokoll kann ein Angreifer so den HTTP-Request des Benutzers
fälschen. Ein entfernter, nicht authentisierter Angreifer kann die
Schwachstelle dazu ausnutzen, um an vertrauliche Daten zu gelangen,
Operationen mit den Rechten des Benutzers auf dem Server auszuführen oder
dem Benutzer falsche Informationen anzuzeigen. Diese Schwachstelle wird
bereits aktiv von Angreifern ausgenutzt. RFC 5746 (Transport Layer Security
(TLS) Renegotiation Indication Extension) erweitert das TLS-Protokoll um
diese Schwachstelle zu beheben.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-1722/

Schwachstelle CVE-2009-3555 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2009-3555

Schwachstelle CVE-2016-9277 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-9277

Novell-ADV-5333891: eDirectory 9.0.4:
https://download.novell.com/Download?buildid=WKnTKcctISw~

Schwachstelle CVE-2017-9285 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-9285

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben