UPDATE: DFN-CERT-2016-0335 Bibliothek libssh: Eine Schwachstelle ermöglicht das Umgehen von Sicherheitsvorkehrungen und Ausspähen von Informationen [Linux][Fedora]

UPDATE: DFN-CERT-2016-0335 Bibliothek libssh: Eine Schwachstelle ermöglicht das Umgehen von Sicherheitsvorkehrungen und Ausspähen von Informationen [Linux][Fedora]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 2 (29.02.2016):
Für Fedora EPEL 6 und EPEL 7 stehen Sicherheitsupdates in Form der Pakete
libssh-0.5.5-5.el6 und libssh-0.6.5-2.el7 im Status ‘testing’ bereit.
Das Sicherheitsupdate libssh-0.7.3-1.fc23 für Fedora 23 befindet sich
mittlerweile im Status ‘stable’.
Version 1 (25.02.2016):
Neues Advisory

Betroffene Software:

Bibliothek libssh <= 0.7.2 Betroffene Plattformen: Red Hat Fedora 22 Red Hat Fedora 23 Extra Packages for Red Hat Enterprise Linux 6 Extra Packages for Red Hat Enterprise Linux 7 Eine Schwachstelle in der Bibliothek libssh ermöglicht einem entfernten, nicht authentifizierten Angreifer das Umgehen von Sicherheitsvorkehrungen und in der Folge das Ausspähen von Informationen. Für Fedora 22 und 23 stehen Sicherheitsupdates in Form der Pakete libssh-0.7.3-1.fc22 im Status 'testing' und libssh-0.7.3-1.fc23 im Status 'pending' bereit. Workaround: Der Hersteller weist darauf hin, dass die Schlüsselaustauschmethoden (Key Exchange Methods, KEXs) 'curve25519-sha256@libssh.org' und 'ecdh-sha2-nistp256' nicht verwundbar sind und empfiehlt deren Verwendung, solange das Sicherheitsupdate nicht eingespielt werden kann. Patch: libssh 0.7.3 Release Notes https://www.libssh.org/2016/02/23/libssh-0-7-3-security-and-bugfix-release/

Patch:

Fedora Security Update FEDORA-2016-d9f950c779 (Fedora 23)

https://bodhi.fedoraproject.org/updates/FEDORA-2016-d9f950c779

Patch:

Fedora Security Update FEDORA-2016-dc9e8da03c (Fedora 22)

https://bodhi.fedoraproject.org/updates/FEDORA-2016-dc9e8da03c

Patch:

Fedora Security Update FEDORA-EPEL-2016-6dc46a554e (Fedora EPEL 7)

https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2016-6dc46a554e

Patch:

Fedora Security Update FEDORA-EPEL-2016-6e0c318d91 (Fedora EPEL 6)

https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2016-6e0c318d91

CVE-2016-0739: Schwachstelle in libssh ermöglicht Umgehen von
Sicherheitsvorkehrungen

Die Bibliothek libssh enthält eine Schwachstelle aufgrund der fehlerhaften
Erzeugung geheimer Ephemeral-Schlüssel. Wenn ‘diffie-hellman-group1’ und
‘diffie-hellman-group14’-Methoden verwendet werden, bestehen diese Schlüssel
nur aus 128 Bits statt der empfohlenen 1024 oder 2048 Bits. Ein entfernter,
nicht authentifizierter Angreifer kann diese Schwachstelle für einen
Man-in-the-Middle (MitM)-Angriff ausnutzen, eine Sicherheitsvorkehrung
umgehen und dadurch sensible Informationen ausspähen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2016-0335/

Schwachstelle CVE-2016-0739 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-0739

libssh 0.7.3 Release Notes:
https://www.libssh.org/2016/02/23/libssh-0-7-3-security-and-bugfix-release/

Fedora Security Update FEDORA-2016-d9f950c779 (Fedora 23):
https://bodhi.fedoraproject.org/updates/FEDORA-2016-d9f950c779

Fedora Security Update FEDORA-2016-dc9e8da03c (Fedora 22):
https://bodhi.fedoraproject.org/updates/FEDORA-2016-dc9e8da03c

Fedora Security Update FEDORA-EPEL-2016-6dc46a554e (Fedora EPEL 7):
https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2016-6dc46a554e

Fedora Security Update FEDORA-EPEL-2016-6e0c318d91 (Fedora EPEL 6):
https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2016-6e0c318d91

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben