Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 4 (14.01.2016):
Für die Produkte SUSE OpenStack Cloud Compute 5, SUSE Linux Enterprise
Server 12-SP1, Server 12, Module for Public Cloud 12, High Availability
12, Desktop 12-SP1 sowie SUSE Enterprise Storage 2 und Storage 1.0 stehen
Sicherheitsupdates zur Verfügung.
Version 3 (30.11.2015):
Für SUSE OpenStack Cloud 5 steht ein Backport-Sicherheitsupdate zur
Verfügung.
Version 2 (18.03.2015):
Für Fedora 21 wird ein Backport-Sicherheitsupdate im Status ‘testing’
bereitgestellt.
Version 1 (17.03.2015):
Neues Advisory

Betroffene Software:

Python Requests <= 2.5.3 Betroffene Plattformen: SUSE Linux Enterprise High Availability 12 SUSE Linux Enterprise Module for Public Cloud 12 SUSE OpenStack Cloud Compute 5 SUSE Enterprise Storage 1.0 SUSE Enterprise Storage 2 Canonical Ubuntu Linux 14.04 Lts Canonical Ubuntu Linux 14.10 SUSE Linux Enterprise Desktop 12 SP1 SUSE Linux Enterprise Server 12 SUSE Linux Enterprise Server 12 SP1 Red Hat Fedora 21 Eine Schwachstelle in Requests ermöglicht einem entfernten, nicht authentifizierten Angreifer das Umgehen von Sicherheitsmaßnahmen. Patch: Ubuntu Security Notice USN-2531-1 http://www.ubuntu.com/usn/usn-2531-1/

Patch:

Fedora Security Update FEDORA-2015-4084

https://admin.fedoraproject.org/updates/FEDORA-2015-4084/python-requests-2.5.3-2.fc21,python-urllib3-1.10.2-1.fc21

Patch:

SUSE Security Update SUSE-SU-2015:2156-1

https://www.suse.com/support/update/announcement/2015/suse-su-20152156-1.html

Patch:

SUSE Security Update SUSE-SU-2016:0114-1

https://www.suse.com/support/update/announcement/2016/suse-su-20160114-1.html

CVE-2015-2296: Schwachstelle in Requests ermöglicht das Umgehen von
Sicherheitsmaßnahmen

Eine Schwachstelle in Requests führt dazu, dass Cookies ohne Host-Wert bei
der Umleitungen (redirect) von HTTP-Antworten nicht korrekt behandelt
werden. Ein Cookie wird nicht nur für die Domain gesetzt, von der die
HTTP-Antwort gesendet wurde, sondern auch an das Ziel der Umleitung
gesendet, unabhängig davon, zu welcher Domain das Ziel gehört. Dadurch ist
es möglich Cookies zu stehlen oder Sitzungen zu übernehmen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-0357/

Ubuntu Security Notice USN-2531-1:
http://www.ubuntu.com/usn/usn-2531-1/

Schwachstelle CVE-2015-2296 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-2296

Fedora Security Update FEDORA-2015-4084:
https://admin.fedoraproject.org/updates/FEDORA-2015-4084/python-requests-2.5.3-2.fc21,python-urllib3-1.10.2-1.fc21

SUSE Security Update SUSE-SU-2015:2156-1:
https://www.suse.com/support/update/announcement/2015/suse-su-20152156-1.html

SUSE Security Update SUSE-SU-2016:0114-1:
https://www.suse.com/support/update/announcement/2016/suse-su-20160114-1.html

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 3 (30.11.2015):
Für SUSE OpenStack Cloud 5 steht ein Backport-Sicherheitsupdate zur
Verfügung.
Version 2 (18.03.2015):
Für Fedora 21 wird ein Backport-Sicherheitsupdate im Status ‘testing’
bereitgestellt.
Version 1 (17.03.2015):
Neues Advisory

Betroffene Software:

Python Requests <= 2.5.3 Betroffene Plattformen: SUSE OpenStack Cloud Compute 5 Canonical Ubuntu Linux 14.04 Lts Canonical Ubuntu Linux 14.10 Red Hat Fedora 21 Eine Schwachstelle in Requests ermöglicht einem entfernten, nicht authentifizierten Angreifer das Umgehen von Sicherheitsmaßnahmen. Patch: Ubuntu Security Notice USN-2531-1 http://www.ubuntu.com/usn/usn-2531-1/

Patch:

Fedora Security Update FEDORA-2015-4084

https://admin.fedoraproject.org/updates/FEDORA-2015-4084/python-requests-2.5.3-2.fc21,python-urllib3-1.10.2-1.fc21

Patch:

SUSE Security Update SUSE-SU-2015:2156-1

https://www.suse.com/support/update/announcement/2015/suse-su-20152156-1.html

CVE-2015-2296: Schwachstelle in Requests ermöglicht das Umgehen von
Sicherheitsmaßnahmen

Eine Schwachstelle in Requests führt dazu, dass Cookies ohne Host-Wert bei
der Umleitungen (redirect) von HTTP-Antworten nicht korrekt behandelt
werden. Ein Cookie wird nicht nur für die Domain gesetzt, von der die
HTTP-Antwort gesendet wurde, sondern auch an das Ziel der Umleitung
gesendet, unabhängig davon, zu welcher Domain das Ziel gehört. Dadurch ist
es möglich Cookies zu stehlen oder Sitzungen zu übernehmen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-0357/

Ubuntu Security Notice USN-2531-1:
http://www.ubuntu.com/usn/usn-2531-1/

Schwachstelle CVE-2015-2296 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-2296

Fedora Security Update FEDORA-2015-4084:
https://admin.fedoraproject.org/updates/FEDORA-2015-4084/python-requests-2.5.3-2.fc21,python-urllib3-1.10.2-1.fc21

SUSE Security Update SUSE-SU-2015:2156-1:
https://www.suse.com/support/update/announcement/2015/suse-su-20152156-1.html

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.