UPDATE: DFN-CERT-2013-1946 cURL: Eine Schwachstelle ermöglicht das Darstellen falscher Informationen [Linux][Debian][Fedora][Unix]

UPDATE: DFN-CERT-2013-1946 cURL: Eine Schwachstelle ermöglicht das Darstellen falscher Informationen [Linux][Debian][Fedora][Unix]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 3 (06.12.2013):
Patches für Ubuntu 10.04 LTS, 12.04 LTS, 12.10, 13.04 und 13.10 sind
nunmehr verfügbar.
Version 2 (25.11.2013):
Patches für Fedora 19 und 20 sind nunmehr verfügbar.
Version 1 (19.11.2013):
Neues Advisory

Betroffene Software:

cURL
Canonical Ubuntu Linux <= 10.04 Lts Canonical Ubuntu Linux <= 12.04 Lts Canonical Ubuntu Linux <= 12.10 Canonical Ubuntu Linux <= 13.04 Canonical Ubuntu Linux <= 13.10 Debian Linux <= 6.2 Squeeze Debian Linux <= 7.2 Wheezy Debian Linux <= 8.0 Jessie Red Hat Fedora <= 19 Red Hat Fedora <= 20 Betroffene Plattformen: Debian Fedora Linux Ubuntu UNIX Eine Schwachstelle in cURL im Zusammenhang mit openSSL als TLS/SSL-Bibliothek kann dazu führen, dass beim Deaktivieren des Peer-Checks auch der Hostname-Check ausgeschaltet wird. Dies ermöglicht einem entfernten Angreifer sich als ein anderer Server auszugeben, während der Benutzer annimmt, dass eine Sicherheitsprüfung stattgefunden hat. Patch: Debian Security Advisory DSA-2798 http://www.debian.org/security/2013/dsa-2798

Patch:

Fedora Update FEDORA-2013-21887

https://admin.fedoraproject.org/updates/FEDORA-2013-21887/mingw-curl-7.33.0-1.fc19

Patch:

Fedora Update FEDORA-2013-22046

https://admin.fedoraproject.org/updates/FEDORA-2013-22046/mingw-curl-7.33.0-1.fc20

Patch:

Ubuntu Security Notice USN-2048-1

http://www.ubuntu.com/usn/usn-2048-1/

CVE-2013-4545: Schwachstelle in libcurl mit openssl-Bibliothek

Eine Schwachstelle in der libcurl, wenn openssl als TLS/SSL-Bibliothek
verwendet wird, führt dazu, dass Server Namen nicht mehr richtig geprüft
werden, wenn die Umgebungsvariable CURLOPT_SSL_VERIFYPEER auf 0 gesetzt ist.
Eine Anwendung könnte so fälschlicherweise davon ausgehen, dass eine
Überprüfung durchgeführt wurde, obwohl dies nicht der Fall ist. Ein
entfernter, nicht authentifizierter Angreifer kann sich durch Ausnutzen der
Schwachstelle mit einem anderen Hostname identifizieren.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2013-1946/

cURL Hersteller-Advisory:
http://curl.haxx.se/docs/security.html

Debian Security Advisory DSA-2798:
http://www.debian.org/security/2013/dsa-2798

Schwachstelle CVE-2013-4545 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-4545

Fedora Update FEDORA-2013-21887:
https://admin.fedoraproject.org/updates/FEDORA-2013-21887/mingw-curl-7.33.0-1.fc19

Fedora Update FEDORA-2013-22046:
https://admin.fedoraproject.org/updates/FEDORA-2013-22046/mingw-curl-7.33.0-1.fc20

cURL spezifische Informationen zu CVE-2013-4545:
http://curl.haxx.se/docs/adv_20131115.html

Ubuntu Security Notice USN-2048-1:
http://www.ubuntu.com/usn/usn-2048-1/

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.

UPDATE: DFN-CERT-2013-1946 cURL: Eine Schwachstelle ermöglicht das Darstellen falscher Informationen [Linux][Debian][Fedora][Unix]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 2 (25.11.2013):
Patches für Fedora 19 und 20 sind nunmehr verfügbar.
Version 1 (19.11.2013):
Neues Advisory

Betroffene Software:

cURL
Debian Linux <= 6.2 Squeeze Debian Linux <= 7.2 Wheezy Debian Linux <= 8.0 Jessie Red Hat Fedora <= 19 Red Hat Fedora <= 20 Betroffene Plattformen: Debian Fedora Linux UNIX Eine Schwachstelle in cURL im Zusammenhang mit openSSL als TLS/SSL-Bibliothek kann dazu führen, dass beim Deaktivieren des Peer-Checks auch der Hostname-Check ausgeschaltet wird. Dies ermöglicht einem entfernten Angreifer sich als ein anderer Server auszugeben, während der Benutzer annimmt, dass eine Sicherheitsprüfung stattgefunden hat. Patch: Debian Security Advisory DSA-2798 http://www.debian.org/security/2013/dsa-2798

Patch:

Fedora Update FEDORA-2013-21887

https://admin.fedoraproject.org/updates/FEDORA-2013-21887/mingw-curl-7.33.0-1.fc19

Patch:

Fedora Update FEDORA-2013-22046

https://admin.fedoraproject.org/updates/FEDORA-2013-22046/mingw-curl-7.33.0-1.fc20

CVE-2013-4545: Schwachstelle in libcurl mit openssl-Bibliothek

Eine Schwachstelle in der libcurl, wenn openssl als TLS/SSL-Bibliothek
verwendet wird, führt dazu, dass Server Namen nicht mehr richtig geprüft
werden, wenn die Umgebungsvariable CURLOPT_SSL_VERIFYPEER auf 0 gesetzt ist.
Eine Anwendung könnte so fälschlicherweise davon ausgehen, dass eine
Überprüfung durchgeführt wurde, obwohl dies nicht der Fall ist. Ein
entfernter, nicht authentifizierter Angreifer kann sich durch Ausnutzen der
Schwachstelle mit einem anderen Hostname identifizieren.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2013-1946/

Debian Security Advisory DSA-2798:
http://www.debian.org/security/2013/dsa-2798

Schwachstelle CVE-2013-4545 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-4545

Fedora Update FEDORA-2013-21887:
https://admin.fedoraproject.org/updates/FEDORA-2013-21887/mingw-curl-7.33.0-1.fc19

Fedora Update FEDORA-2013-22046:
https://admin.fedoraproject.org/updates/FEDORA-2013-22046/mingw-curl-7.33.0-1.fc20

cURL spezifische Informationen zu CVE-2013-4545:
http://curl.haxx.se/docs/adv_20131115.html

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.

© COMPUTEC MEDIA GmbH
Nach oben