UPDATE: DFN-CERT-2014-0445 cURL: Mehrere Schwachstellen ermöglichen das Umgehen von Sicherheitsvorkehrungen [Linux][Debian][Fedora][SuSE]

UPDATE: DFN-CERT-2014-0445 cURL: Mehrere Schwachstellen ermöglichen das Umgehen von Sicherheitsvorkehrungen [Linux][Debian][Fedora][SuSE]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 5 (31.05.2014):
Für die Distributionen Fedora 19 und 20 stehen Sicherheitsupdates zur
Verfügung.
Version 4 (22.05.2014):
Es stehen jetzt Sicherheitsupdates für SUSE Linux Enterprise Software
Development Kit 11 SP3, Desktop 11 SP3, Server 11 SP3 sowie Server 11 SP3
für VMware zur Verfügung.
Version 3 (02.05.2014):
Es stehen nun auch Patches für OpenSUSE 13.1 sowie 12.3 zur Verfügung.
Version 2 (15.04.2014):
Für Ubuntu 13.10, 12.10, 12.04 LTS und 10.04 LTS stehen Sicherheitsupdates
zur Verfügung.
Version 1 (14.04.2014):
Neues Advisory

Betroffene Software:

cURL >= 7.1
cURL <= 7.35.0 libcurl >= 7.1
libcurl <= 7.35.0 Betroffene Plattformen: SuSE SUSE Linux Enterprise Software Development Kit 11 SP3 Enterprise Canonical Ubuntu Linux 10.04 Lts Canonical Ubuntu Linux 12.04 Lts Canonical Ubuntu Linux 12.10 Canonical Ubuntu Linux 13.10 Debian Linux 6.0.9 Squeeze Debian Linux 7.4 Wheezy Debian Linux 8.0 Jessie openSUSE 12.3 openSUSE 13.1 SUSE Linux Enterprise Desktop 11 SP3 SUSE Linux Enterprise Server 11 SP3 SUSE Linux Enterprise Server 11 SP3 VMware Red Hat Fedora 19 Red Hat Fedora 20 Zwei Schwachstellen ermöglichen einem entfernten, nicht authentifizierten Angreifer das Umgehen einer Authentifizierung bzw. das Nutzen einer anderen Identität und ein schädliches System unter seiner Kontrolle als ein legitimes, anderes System auszugeben. Patch: cURL Security Advisory http://curl.haxx.se/docs/adv_20140326A.html

Patch:

Debian Security Advisory DSA-2902

http://www.debian.org/security/2014/dsa-2902

Patch:

openSUSE Recommended Update openSUSE-RU-2014:0514-1

http://lists.opensuse.org/opensuse-updates/2014-04/msg00031.html

Patch:

Ubuntu Security Notice USN-2167-1

http://www.ubuntu.com/usn/usn-2167-1/

Patch:

openSUSE Security Update: openSUSE-SU-2014:0598-1

http://lists.opensuse.org/opensuse-updates/2014-05/msg00009.html

Patch:

SUSE Security Update: SUSE-SU-2014:0691-1

https://www.suse.com/support/update/announcement/2014/suse-su-20140691-1.html

Patch:

Fedora Security Update FEDORA-2014-6912

https://admin.fedoraproject.org/updates/FEDORA-2014-6912/mingw-curl-7.37.0-1.fc20

Patch:

Fedora Security Update FEDORA-2014-6921

https://admin.fedoraproject.org/updates/FEDORA-2014-6921/mingw-curl-7.37.0-1.fc19

CVE-2014-0139: cURL: Inkorrekte Validierung von SSL-Zertifikaten mit
IP-Adressen im Common Name

SSL-Zertifikate, die IP-Adressen mit Platzhaltern im CN enthalten, werden
von der Bibliothek libcurl nicht korrekt validiert. Ein entfernter, nicht
authentifizierter Angreifer kann diese Schwachstelle ausnutzen, um einen
schädlichen Server aufzusetzen, der anschließend in einem
Man-in-the-Middle-Angriff oder direkt benutzt wird, um die Benutzer glauben
zu machen, es handele sich um einen legitimen Server.

Diese Schwachstelle betrifft libcurl nur dann, wenn die TLS-Bibliotheken
OpenSSL, axtls, qsossl oder gskit benutzt werden.

CVE-2014-0138: cURL: Schwachstelle ermöglicht Umgehung von
Zugangsbeschränkungen

Falls das Anwendungsprotokoll einer Übertragung nicht HTTP oder FTP ist,
verwendet die Bibliothek libcurl unter bestimmten Umständen zum Transfer von
Daten eine falsche, bereits existierende Verbindung. Betroffen sind die
Protokolle SCP, SFTP, POP3(S), IMAP(S), SMTP(S) und LDAP(S). Dies ermöglicht
einem entfernten Angreifer das Umgehen einer Authentifizierung bzw. das
Nutzen einer anderen Identität zum Transfer von Daten. Eine Anwendung kann
die Wiederverwendung von existierenden Verbindung generell durch das Setzen
der Variablen CURLOPT_FRESH_CONNECT, CURLOPT_MAXCONNECTS oder
CURLMOPT_MAX_HOST_CONNECTIONS unterbinden.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-0445/

Schwachstelle CVE-2014-0139 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0139

cURL Security Advisory:
http://curl.haxx.se/docs/adv_20140326A.html

Schwachstelle CVE-2014-0138 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0138

Debian Security Advisory DSA-2902:
http://www.debian.org/security/2014/dsa-2902

openSUSE Recommended Update openSUSE-RU-2014:0514-1:
http://lists.opensuse.org/opensuse-updates/2014-04/msg00031.html

Ubuntu Security Notice USN-2167-1:
http://www.ubuntu.com/usn/usn-2167-1/

openSUSE Security Update: openSUSE-SU-2014:0598-1:
http://lists.opensuse.org/opensuse-updates/2014-05/msg00009.html

SUSE Security Update: SUSE-SU-2014:0691-1:
https://www.suse.com/support/update/announcement/2014/suse-su-20140691-1.html

Fedora Security Update FEDORA-2014-6912:
https://admin.fedoraproject.org/updates/FEDORA-2014-6912/mingw-curl-7.37.0-1.fc20

Fedora Security Update FEDORA-2014-6921:
https://admin.fedoraproject.org/updates/FEDORA-2014-6921/mingw-curl-7.37.0-1.fc19

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.

© COMPUTEC MEDIA GmbH
Nach oben