UPDATE: DFN-CERT-2013-2011 mod_nss: Eine Schwachstelle ermöglicht das Ausspähen von Informationen [Linux][RedHat][Unix]

UPDATE: DFN-CERT-2013-2011 mod_nss: Eine Schwachstelle ermöglicht das Ausspähen von Informationen [Linux][RedHat][Unix]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 2 (05.12.2013):
Updates für Fedora 18, 19 und 20 sind verfügbar.
Version 1 (04.12.2013):
Neues Advisory

Betroffene Software:

Red Hat Enterprise Linux <= 5 Client/mod_nss Red Hat Enterprise Linux <= 5 Server/mod_nss Red Hat Enterprise Linux <= 6 Client/mod_nss Red Hat Enterprise Linux <= 6 Computernode/mod_nss Red Hat Enterprise Linux <= 6 Server/mod_nss Red Hat Enterprise Linux <= 6 Workstation/mod_nss Red Hat Fedora <= 18 Red Hat Fedora <= 19 Red Hat Fedora <= 20 Betroffene Plattformen: Linux RedHat UNIX Ein entfernter, nicht authentifizierter Angreifer ist durch Ausnutzung der Schwachstelle in der Lage, sich mit dem Server ohne gültiges Client Zertifikat zu verbinden und auf Inhalte in zugriffsbeschränkten Verzeichnissen zuzugreifen. Patch: Red Hat Security Advisory RHSA-2013-1779 http://rhn.redhat.com/errata/RHSA-2013-1779.html

Patch:

Fedora Update FEDORA-2013-22787

https://admin.fedoraproject.org/updates/FEDORA-2013-22787/mod_nss-1.0.8-27.fc19

Patch:

Fedora Update FEDORA-2013-22730

https://admin.fedoraproject.org/updates/FEDORA-2013-22730/mod_nss-1.0.8-28.fc20

Patch:

Fedora Update FEDORA-2013-22786

https://admin.fedoraproject.org/updates/FEDORA-2013-22786/mod_nss-1.0.8-27.fc18

CVE-2013-4566: Schwachstelle in mod_nss

Es existiert eine Schwachstelle in der Behandlung von ‘NSSVerifyClient’.
Wenn im Server Kontext ‘NSSVerifyClient none’ gesetzt ist und die
Authentifizierung mittels eines Client Zertifikates für ein spezielles
Verzeichnis über ‘NSSVerifyClient require’ erwartet wird, dann erfolgt die
Prüfung auf das erwartete Zertifikat in mod_nss nicht korrekt.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2013-2011/

Red Hat Security Advisory RHSA-2013-1779:
http://rhn.redhat.com/errata/RHSA-2013-1779.html

Schwachstelle CVE-2013-4566 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-4566

Fedora Update FEDORA-2013-22787:
https://admin.fedoraproject.org/updates/FEDORA-2013-22787/mod_nss-1.0.8-27.fc19

Fedora Update FEDORA-2013-22730:
https://admin.fedoraproject.org/updates/FEDORA-2013-22730/mod_nss-1.0.8-28.fc20

Fedora Update FEDORA-2013-22786:
https://admin.fedoraproject.org/updates/FEDORA-2013-22786/mod_nss-1.0.8-27.fc18

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.

© COMPUTEC MEDIA GmbH
Nach oben