UPDATE: DFN-CERT-2014-0814 Castor: Eine Schwachstelle ermöglicht das Ausspähen von Informationen [Linux][Fedora][SuSE]

UPDATE: DFN-CERT-2014-0814 Castor: Eine Schwachstelle ermöglicht das Ausspähen von Informationen [Linux][Fedora][SuSE]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 2 (08.12.2014):
Für die Distributionen Fedora 20 und Fedora 21 stehen Sicherheitsupdates
bereit.
Version 1 (25.06.2014):
Neues Advisory

Betroffene Software:

Castor

Betroffene Plattformen:

openSUSE 12.3
openSUSE 13.1
Red Hat Fedora 20
Red Hat Fedora 21

Durch eine Schwachstelle in Castor ist es einem entfernten, nicht
authentifizierten Angreifer möglich Informationen auszuspähen.
Das Security Update von openSUSE referenziert eine weitere Schwachstelle,
die aber offensichtlich nicht mit Castor im Zusammenhang steht und daher als
Schreibfehler angesehen werden kann.

Patch:

openSUSE Security Update: openSUSE-SU-2014:0822-1

http://lists.opensuse.org/opensuse-updates/2014-06/msg00043.html

Patch:

Fedora Security Update FEDORA-2014-16346

https://admin.fedoraproject.org/updates/FEDORA-2014-16346/castor-1.3.3-1.fc20

Patch:

Fedora Security Update FEDORA-2014-16446

https://admin.fedoraproject.org/updates/FEDORA-2014-16446/castor-1.3.3-1.fc21

CVE-2014-3004: Schwachstelle in Castor ermöglicht XML-External-Entity
(XXE)-Angriffe

Die Standardeinstellung für den Xerces-SAX-Parser in Castor vor Version
1.3.3 beinhaltet eine XML-External-Entity-Schwachstelle. Ein entfernter,
nicht authentifizierter Angreifer kann, mit Hilfe von präparierten
XML-Dokumenten, XML-External-Entity-Angriffe durchführen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-0814/

openSUSE Security Update: openSUSE-SU-2014:0822-1:
http://lists.opensuse.org/opensuse-updates/2014-06/msg00043.html

Schwachstelle CVE-2014-3004 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3004

Fedora Security Update FEDORA-2014-16346:
https://admin.fedoraproject.org/updates/FEDORA-2014-16346/castor-1.3.3-1.fc20

Fedora Security Update FEDORA-2014-16446:
https://admin.fedoraproject.org/updates/FEDORA-2014-16446/castor-1.3.3-1.fc21

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben