Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 2 (17.12.2014):
Für die Distribution Fedora 21 steht ein Sicherheitsupdate zur Verfügung.
Version 1 (03.12.2014):
Neues Advisory

Betroffene Software:

OpenVAS (Open Vulnerability Assessment System) < 4.0.6 OpenVAS (Open Vulnerability Assessment System) < 5.0.7 Betroffene Plattformen: GNU/Linux Red Hat Fedora 21 Eine Schwachstelle im OpenVAS Manager ermöglicht einem entfernten, authentifizierten Angreifer, beliebige SQL-Befehle zum Auslesen von Daten auszuführen. Patch: OpenVAS Hersteller-Advisory OVSA20141128 http://www.openvas.org/OVSA20141128.html

Patch:

Fedora Security Update FEDORA-2014-17049

https://admin.fedoraproject.org/updates/FEDORA-2014-17049/openvas-cli-1.3.1-1.fc21,openvas-manager-5.0.7-1.fc21,openvas-scanner-4.0.5-1.fc21

CVE-2014-9220: Schwachstelle in OpenVAS Manager ermöglicht SQL-Injection

Im OpenVAS Manager werden Zeitzonenparameter in modify_schedule OMP
Kommandos nicht korrekt verarbeitet. Ein entfernter, authentifizierter
Angreifer, der die Rechte zum Ändern von “Schedule Objects” besitzt, kann
diese Schwachstelle ausnutzen, um beliebige SQL-Befehle zum Auslesen von
Daten auszuführen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-1578/

OpenVAS Hersteller-Advisory OVSA20141128:
http://www.openvas.org/OVSA20141128.html

Schwachstelle CVE-2014-9220 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-9220

Fedora Security Update FEDORA-2014-17049:
https://admin.fedoraproject.org/updates/FEDORA-2014-17049/openvas-cli-1.3.1-1.fc21,openvas-manager-5.0.7-1.fc21,openvas-scanner-4.0.5-1.fc21

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.