[Fedora] Schwachstelle in openconnect vor Version 2.25 – FEDORA-2010-12257

[Fedora] Schwachstelle in openconnect vor Version 2.25 - FEDORA-2010-12257

Von

—–BEGIN PGP SIGNED MESSAGE—–
Hash: SHA1

Liebe Kolleginnen und Kollegen,

soeben erreichte uns nachfolgendes Fedora Security Advisory. Wir geben
diese Informationen unveraendert an Sie weiter.

RedHat Bug ID 620219 – Schwachstelle in OpenConnect

Der OpenConnect VPN Client untersucht beim Aufbau das Server
Zertifikat nur bei der Angabe einer speziellen Kommandozeilen-Option.
Dies kann fuer einen Angreifer die Moeglichkeit eroeffnen einem Benutzer
einen gefaelschtes Server-Zeritifikat unterzuschieben oder einen
Verbindung unbemerkt auf einen anderer Server umzuleiten.

Betroffen sind die folgenden Software Pakete und Plattformen:

Paket openconnect

Fedora 12
Fedora 13

Vom Hersteller werden ueberarbeitete Pakete zur Verfuegung gestellt.

(c) der deutschen Zusammenfassung bei DFN-CERT Services GmbH; die
Verbreitung, auch auszugsweise, ist nur unter Hinweis auf den Urheber,
DFN-CERT Services GmbH, und nur zu nicht kommerziellen Zwecken
gestattet.

Mit freundlichen Gruessen,
Michael Groening, DFN-CERT
– —

Michael Groening (Incident Response Team)

DFN-CERT Services GmbH, https://www.dfn-cert.de, Phone +49 40 808077-590
Sitz / Register: Hamburg, AG Hamburg, HRB 88805, Ust-IdNr.: DE 232129737
Sachsenstrasse 5, 20097 Hamburg/Germany, CEO: Dr. Klaus-Peter Kossakowski

Automatische Warnmeldungen https://www.cert.dfn.de/autowarn

– ——————————————————————————–
Fedora Update Notification
FEDORA-2010-12257
2010-08-07 22:45:47
– ——————————————————————————–

Name : openconnect
Product : Fedora 13
Version : 2.25
Release : 1.fc13
URL : http://www.infradead.org/openconnect.html
Summary : Open client for Cisco AnyConnect VPN
Description :
This package provides a client for Cisco’s “AnyConnect” VPN, which uses
HTTPS and DTLS protocols.

– ——————————————————————————–
Update Information:

This update enables validation of the VPN server’s SSL certificate by default,
to defend against a potential man-in-the-middle attack.
– ——————————————————————————–
ChangeLog:

* Sun Aug 1 2010 David Woodhouse – 2.25-1
– – Update to 2.25. (#620219: Check server cert against hostname)
– ——————————————————————————–
References:

[ 1 ] Bug #620219 – OpenConnect: Always validate server certificate, check server hostname against its certificate
https://bugzilla.redhat.com/show_bug.cgi?id=620219
– ——————————————————————————–

This update can be installed with the “yum” update program. Use
su -c ‘yum update openconnect’ at the command line.
For more information, refer to “Managing Software with yum”,
available at http://docs.fedoraproject.org/yum/.

All packages are signed with the Fedora Project GPG key. More details on the
GPG keys used by the Fedora Project can be found at
https://fedoraproject.org/keys
– ——————————————————————————–

—–BEGIN PGP SIGNATURE—–
Version: GnuPG v2.0.9 (GNU/Linux)

iEYEARECAAYFAkxirEAACgkQWmhIvjFb90Vz9QCff7felIy2T0fiM1lAATJSkOfs
orcAn0ymH/jA7jN23epS6gRvO8qYsRCR
=s2+1
—–END PGP SIGNATURE—–

© COMPUTEC MEDIA GmbH
Nach oben