UPDATE: DFN-CERT-2014-0583 libwww-perl: Eine Schwachstelle ermöglicht das Umgehen von Sicherheitsvorkehrungen [Linux][Fedora][SuSE]

- 18. Juli 2014

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 4 (18.07.2014):
Für Ubuntu 14.04 LTS steht ein Sicherheitsupdate bereit.
Version 3 (23.05.2014):
Für die Distributionen openSUSE 13.1 und openSUSE 12.3 werden
Sicherheitsupdates zur Verfügung gestellt.
Version 2 (15.05.2014):
Für Fedora 19 wurde jetzt ebenfalls ein Sicherheitsupdate veröffentlicht.
Version 1 (13.05.2014):
Neues Advisory

Betroffene Software:

Canonical Ubuntu Linux 14.04 Lts
openSUSE 12.3
openSUSE 13.1
Red Hat Fedora 19
Red Hat Fedora 20

Betroffene Plattformen:

Canonical Ubuntu Linux
openSUSE
Red Hat Fedora

Ein entfernter, nicht authentifizierter Angreifer kann diese Schwachstelle
nutzen, um Sicherheitsvorkehrungen zu umgehen und um anschließend weitere
Angriffe durchzuführen.

Patch:

Fedora Security Update FEDORA-2014-6303

https://admin.fedoraproject.org/updates/FEDORA-2014-6303/perl-LWP-Protocol-https-6.04-4.fc20

Patch:

Fedora Security Update FEDORA-2014-6369

https://admin.fedoraproject.org/updates/FEDORA-2014-6369/perl-LWP-Protocol-https-6.04-2.fc19

Patch:

openSUSE Security Update: openSUSE-SU-2014:0710-1

http://lists.opensuse.org/opensuse-updates/2014-05/msg00072.html

Patch:

Ubuntu Security Notice USN-2292-1 LWPProtocol

http://www.ubuntu.com/usn/usn-2292-1/

CVE-2014-3230: SSL-Zertifikatsvalidierungsschwachstelle in perl-libwww-perl

In libwww-perl, wenn IO::Socket::SSL genutzt wird und die Umgebungsvariablen
HTTPS_CA_DIR oder HTTPS_CA_FILE gesetzt ist, wird die
Server-Zertifikatsvalidierung deaktiviert. Diese Schwachstelle ist mit der
Version 6.04 von LWP::Protocol::https eingeführt worden.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-0583/

Fedora Security Update FEDORA-2014-6303:
https://admin.fedoraproject.org/updates/FEDORA-2014-6303/perl-LWP-Protocol-https-6.04-4.fc20

Schwachstelle CVE-2014-3230 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3230

Fedora Security Update FEDORA-2014-6369:
https://admin.fedoraproject.org/updates/FEDORA-2014-6369/perl-LWP-Protocol-https-6.04-2.fc19

openSUSE Security Update: openSUSE-SU-2014:0710-1:
http://lists.opensuse.org/opensuse-updates/2014-05/msg00072.html

Ubuntu Security Notice USN-2292-1 LWPProtocol:
http://www.ubuntu.com/usn/usn-2292-1/

UPDATE: DFN-CERT-2014-0583 libwww-perl: Eine Schwachstelle ermöglicht das Umgehen von Sicherheitsvorkehrungen [Linux][Fedora][SuSE]

Von DFN CERT

- 23. Mai 2014

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 3 (23.05.2014):
Für die Distributionen openSUSE 13.1 und openSUSE 12.3 werden
Sicherheitsupdates zur Verfügung gestellt.
Version 2 (15.05.2014):
Für Fedora 19 wurde jetzt ebenfalls ein Sicherheitsupdate veröffentlicht.
Version 1 (13.05.2014):
Neues Advisory

Betroffene Software:

Red Hat Fedora 19
Red Hat Fedora 20

Betroffene Plattformen:

openSUSE 12.3
openSUSE 13.1
Red Hat Fedora

Ein entfernter, nicht authentifizierter Angreifer kann diese Schwachstelle
nutzen, um Sicherheitsvorkehrungen zu umgehen und um anschließend weitere
Angriffe durchzuführen.

Patch:

Fedora Security Update FEDORA-2014-6303

https://admin.fedoraproject.org/updates/FEDORA-2014-6303/perl-LWP-Protocol-https-6.04-4.fc20

Patch:

Fedora Security Update FEDORA-2014-6369

https://admin.fedoraproject.org/updates/FEDORA-2014-6369/perl-LWP-Protocol-https-6.04-2.fc19

Patch:

openSUSE Security Update: openSUSE-SU-2014:0710-1

http://lists.opensuse.org/opensuse-updates/2014-05/msg00072.html

CVE-2014-3230: SSL-Zertifikatsvalidierungsschwachstelle in perl-libwww-perl

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-0583/