Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Historie:
Version 2 (01.02.2016):
Eine weitere Schwachstelle in cURL ermöglicht die Manipulation von Dateien
auf Windows-Systemen. Ein Update auf cURL-Version 7.47.0 behebt auch diese
Schwachstelle.
Version 1 (28.01.2016):
Neues Advisory
Betroffene Software:
cURL >= 7.10.7
libcurl <= 7.46.0
Betroffene Plattformen:
Canonical Ubuntu Linux 12.04 Lts
Canonical Ubuntu Linux 14.04 Lts
Canonical Ubuntu Linux 15.04
Canonical Ubuntu Linux 15.10
Debian Linux 8.2 Jessie
Microsoft Windows
Red Hat Fedora 22
Red Hat Fedora 23
Ein entfernter, nicht authentifizierter Angreifer kann sich durch eine
Schwachstelle in der Behandlung des NTML-Verbindungspools als ein anderer
Benutzer authentifizieren und somit dessen Identität annehmen.
Die Versionen 7.10.7 bis 7.46.0 der Bibliothek libcurl sind von der
Schwachstelle betroffen. Der Hersteller weist darauf hin, dass libcurl von
vielen Anwendungen verwendet, aber nicht immer als Teil der Anwendung
erwähnt wird.
Für die Distributionen Fedora 22 und 23 stehen mit den Paketen
curl-7.40.0-8.fc22 und curl-7.43.0-5.fc23 Sicherheitsupdates im Status
'pending' bereit.
Canonical stellt für die Distributionen Ubuntu 12.04 LTS, Ubuntu 14.04 LTS,
Ubuntu 15.04 und Ubuntu 15.10 Sicherheitsupdates bereit.
Debian stellt für die Distribution Jessie (stable) ein Sicherheitsupdate zur
Verfügung.
Patch:
Fedora Security Update FEDORA-2016-3fa315a5dd (Fedora 22)
https://bodhi.fedoraproject.org/updates/FEDORA-2016-3fa315a5dd
Patch:
Fedora Security Update FEDORA-2016-57bebab3b6 (Fedora 23)
https://bodhi.fedoraproject.org/updates/FEDORA-2016-57bebab3b6
Patch:
haxx Security Advisory 20160127A
http://curl.haxx.se/docs/adv_20160127A.html
Patch:
Debian Security Advisory DSA-3455-1
https://www.debian.org/security/2016/dsa-3455
Patch:
Ubuntu Security Notice USN-2882-1
http://www.ubuntu.com/usn/usn-2882-1/
Patch:
haxx Security Advisory 20160127B
http://curl.haxx.se/docs/adv_20160127B.html
CVE-2016-0754: Schwachstelle in cURL ermöglicht Manipulation von Dateien
In cURL werden Doppelpunkte als Teil von Dateinamen entfernter Dateien, die
als lokale Dateinamen verwendet werden, nicht ausreichend bereinigt. In
Systemem, in denen der Doppelpunkt als besonderes Zeichen reserviert ist,
können die Kommandozeilenoptionen ‘–remote-name’ (‘-O’) und
‘–remote-header-name’ (‘J’) dadurch so kombiniert werden, dass ein
Schreibzugriff außerhalb des Arbeitsverzeichnisses möglich ist. Ein
entfernter, nicht authentifizierter Angreifer kann Dateien in
Windows-Systemen manipulieren.
CVE-2016-0755: Schwachstelle in cURL ermöglicht Erlangen von Benutzerrechten
In cURL und der Bibliothek libcurl kommt es zu einer Wiederverwendung von
NTLM-Proxy-Verbindungen, ohne dass die Berechtigungsnachweise zur
Authentifizierung (Credentials) ein weiteres Mal geprüft werden.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2016-0158/
Fedora Security Update FEDORA-2016-3fa315a5dd (Fedora 22):
https://bodhi.fedoraproject.org/updates/FEDORA-2016-3fa315a5dd
Fedora Security Update FEDORA-2016-57bebab3b6 (Fedora 23):
https://bodhi.fedoraproject.org/updates/FEDORA-2016-57bebab3b6
haxx Security Advisory 20160127A:
http://curl.haxx.se/docs/adv_20160127A.html
Schwachstelle CVE-2016-0755 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-0755
Debian Security Advisory DSA-3455-1:
https://www.debian.org/security/2016/dsa-3455
Ubuntu Security Notice USN-2882-1:
http://www.ubuntu.com/usn/usn-2882-1/
haxx Security Advisory 20160127B:
http://curl.haxx.se/docs/adv_20160127B.html
Schwachstelle CVE-2016-0754 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-0754
(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.
