Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 2 (11.07.2016):
Für openSUSE 13.1 wird ein Sicherheitsupdate zur Behebung der
Schwachstelle veröffentlicht.
Version 1 (06.07.2016):
Neues Advisory

Betroffene Software:

Libircclient

Betroffene Plattformen:

openSUSE 13.1
openSUSE 13.2
openSUSE Leap 42.1

Ein entfernter, nicht authentifizierten Angreifer kann diese Schwachstelle
ausnutzen, um Sicherheitsvorkehrungen zu umgehen.

Für openSUSE 13.2 und openSUSE Leap 42.1 stehen Sicherheitsupdates bereit,
durch die die Cipher Suite von Libircclient von
‘ALL:!ADH:!LOW:!EXP:!MD5:@STRENGTH to’ auf
‘EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH’ angepasst wird.

Patch:

openSUSE Security Update openSUSE-SU-2016:1737-1

https://lists.opensuse.org/opensuse-updates/2016-07/msg00009.html

Patch:

openSUSE Security Update openSUSE-SU-2016:1742-1

https://lists.opensuse.org/opensuse-updates/2016-07/msg00014.html

Patch:

openSUSE Security Update openSUSE-SU-2016:1766-1

https://lists.opensuse.org/opensuse-updates/2016-07/msg00026.html

SUSE-BUG-ID-857151: Schwachstelle in Libircclient ermöglicht Umgehen von
Sicherheitsvorkehrungen

Die Bibliothek Libircclient verwendet kryptografisch schwache Algorithmen,
wie z.B. MD5.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2016-1084/

openSUSE Security Update openSUSE-SU-2016:1737-1:
https://lists.opensuse.org/opensuse-updates/2016-07/msg00009.html

openSUSE Security Update openSUSE-SU-2016:1742-1:
https://lists.opensuse.org/opensuse-updates/2016-07/msg00014.html

openSUSE Security Update openSUSE-SU-2016:1766-1:
https://lists.opensuse.org/opensuse-updates/2016-07/msg00026.html

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.