UPDATE: DFN-CERT-2013-1684 pyOpenSSL: Schwachstelle ermöglicht das Ausspähen von Informationen [Linux][Debian][Fedora][RedHat][SuSE][Unix]

UPDATE: DFN-CERT-2013-1684 pyOpenSSL: Schwachstelle ermöglicht das Ausspähen von Informationen [Linux][Debian][Fedora][RedHat][SuSE][Unix]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 3 (11.11.2013):
openSUSE hat diese Schwachstelle nun auch für die Versionen 12.2 und 12.3
geschlossen.
Version 2 (26.09.2013):
UBUNTU und Debian haben die Schwachstelle ebenfalls geschlossen.
Version 1 (23.09.2013):
Neues Advisory

Betroffene Software:

Canonical Ubuntu Linux <= 10.04 Lts Canonical Ubuntu Linux <= 12.04 Lts Canonical Ubuntu Linux <= 12.10 Canonical Ubuntu Linux <= 13.04 Debian Linux openSUSE <= 12.2 openSUSE <= 12.3 Red Hat Fedora <= 18 Red Hat Fedora <= 19 Red Hat Fedora <= 20 Betroffene Plattformen: Debian Fedora Linux RedHat SuSE Ubuntu UNIX Eine Schwachstelle in pyOpenSSL ermöglicht einem entfernten, nicht authentifizierten Angreifer einen Man-in-the-Middle Angriff durchzuführen. Des weiteren existiert ein Speicherleck, dass die Verfügbarkeit einschränkt. Patch: Fedora Update FEDORA-2013-15843 https://admin.fedoraproject.org/updates/FEDORA-2013-15843

Patch:

Fedora Update FEDORA-2013-15881

https://admin.fedoraproject.org/updates/FEDORA-2013-15881

Patch:

Fedora Update FEDORA-2013-15925

https://admin.fedoraproject.org/updates/FEDORA-2013-15925

Patch:

Debian Security Advisory DSA-2763

http://www.debian.org/security/2013/dsa-2763

Patch:

Ubuntu Security Notice USN-1965-1

http://www.ubuntu.com/usn/usn-1965-1/

Patch:

openSUSE Update openSUSE-SU-2013:1648-1

http://lists.opensuse.org/opensuse-updates/2013-11/msg00015.html

CVE-2013-4314: Schwachstelle in pyOpenSSL

In pyOpenSSL werden NULL Zeichen im subjectAltName nicht korrekt behandelt.
Ein entfernter, nicht authentifizierter Angreifer kann durch ein
präpariertes X509 Zertifikat die Identität einer Webseite übernehmen und
einen Man-in-the-Middle-Angriff durchführen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2013-1684/

Herstelleradvisory Redhat Bug-ID: #1004446:
https://bugzilla.redhat.com/show_bug.cgi?id=1004446

Fedora Update FEDORA-2013-15843:
https://admin.fedoraproject.org/updates/FEDORA-2013-15843

Fedora Update FEDORA-2013-15881:
https://admin.fedoraproject.org/updates/FEDORA-2013-15881

Fedora Update FEDORA-2013-15925:
https://admin.fedoraproject.org/updates/FEDORA-2013-15925

Schwachstelle CVE-2013-4314 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-4314

Debian Security Advisory DSA-2763:
http://www.debian.org/security/2013/dsa-2763

Ubuntu Security Notice USN-1965-1:
http://www.ubuntu.com/usn/usn-1965-1/

openSUSE Update openSUSE-SU-2013:1648-1:
http://lists.opensuse.org/opensuse-updates/2013-11/msg00015.html

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.

© COMPUTEC MEDIA GmbH
Nach oben