UPDATE: DFN-CERT-2016-1157 PHP, TYPO3, Drupal, Golang: Eine Schwachstelle ermöglicht HTTP-Proxy-Umleitungen [Linux][Fedora][Unix][Solaris][Windows]

UPDATE: DFN-CERT-2016-1157 PHP, TYPO3, Drupal, Golang: Eine Schwachstelle ermöglicht HTTP-Proxy-Umleitungen [Linux][Fedora][Unix][Solaris][Windows]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 2 (21.07.2016):
Für Fedora 23 und 24 stehen Sicherheitsupdates für Golang in Form der
Pakete golang-1.5.4-2.fc23 und golang-1.6.3-1.fc24 im Status ‘testing’
bereit. Für Golang wurde für das unter dem Namen ‘httpoxy’ bekannte
Problem die CVE-2016-5386 vergeben, weshalb diese hier mit aufgenommen
wurde.
Version 1 (19.07.2016):
Neues Advisory

Betroffene Software:

Drupal Core < 8.1.7 Google Go (golang) <= 1.6.2 PHP <= 7.0.8 TYPO3 >= 8.0.0
TYPO3 <= 8.2.0 Betroffene Plattformen: Drupal Core 8.x TYPO3 Red Hat Fedora 23 Red Hat Fedora 24 Extra Packages for Red Hat Enterprise Linux 7 Ein entfernter, nicht authentisierter Angreifer kann eine durch RFC 3875 Sektion 4.1.18 (The Common Gateway Interface, CGI) bedingte Schwachstelle in der PHP-Bibliothek Guzzle in PHP bis Version 7.0.8 ausnutzen, um mit einem präparierten Proxy-Header in einem HTTP-Request den ausgehenden HTTP-Verkehr einer Anwendung auf einen beliebigen, schädlichen Proxy-Server umzuleiten ("httpoxy"-Problem). Während für Mitigationen des "httpoxy"-Problems für den Apache Software Foundation HTTP-Server die CVE-2016-5387 vergeben ist, wurde für PHP eine eigene CVE zugewiesen. TYPO3 informiert darüber, dass TYPO3 CMS in den Versionen 8.0.0 - 8.2.0 von der Schwachstelle betroffen ist und stellt die Version 8.2.1 als Sicherheitsupdate zur Verfügung, welches zügig installiert werden sollte. Das Drupal Security Team informiert über die Schwachstelle in Drupal Core im Versionszweig 8.x und stellt die Version 8.1.7 als Sicherheitsupdate bereit. Der Versionszweig 8.0.x wird nicht mehr unterstützt. Für Fedora 23 und 24 sowie Fedora EPEL 7 stehen Sicherheitsupdates in Form der Pakete php-guzzlehttp-guzzle6-6.2.1-1.fc23, php-guzzlehttp-guzzle6-6.2.1-1.fc24, php-guzzlehttp-guzzle-5.3.1-1.el7, php-guzzlehttp-guzzle-5.3.1-1.fc23 und php-guzzlehttp-guzzle-5.3.1-1.fc24 im Status 'pending' bereit. Workaround: Bis die Sicherheitsupdates eingespielt werden können, können Proxy-Anfragen blockiert werden, bevor sie die Anwendung erreichen. Dies kann in der Firewall oder im Webserver selbst geschehen. Für gängige Konfigurationen finden sich Anleitungen in der Referenz zu 'httpoxy'. Patch: Drupal Security Advisory SA-CORE-2016-003 https://www.drupal.org/SA-CORE-2016-003

Patch:

Fedora Security Update FEDORA-2016-4e7db3d437 (Fedora 24,
php-guzzlehttp-guzzle6-6.2.1-1)

https://bodhi.fedoraproject.org/updates/FEDORA-2016-4e7db3d437

Patch:

Fedora Security Update FEDORA-2016-9c8cf5912c (Fedora 23,
php-guzzlehttp-guzzle6-6.2.1-1)

https://bodhi.fedoraproject.org/updates/FEDORA-2016-9c8cf5912c

Patch:

Fedora Security Update FEDORA-2016-aef8a45afe (Fedora 24,
php-guzzlehttp-guzzle-5.3.1-1)

https://bodhi.fedoraproject.org/updates/FEDORA-2016-aef8a45afe

Patch:

Fedora Security Update FEDORA-2016-e2c8f5f95a (Fedora 23,
php-guzzlehttp-guzzle-5.3.1-1)

https://bodhi.fedoraproject.org/updates/FEDORA-2016-e2c8f5f95a

Patch:

Fedora Security Update FEDORA-EPEL-2016-3a667cc289 (Fedora EPEL 7,
php-guzzlehttp-guzzle-5.3.1-1)

https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2016-3a667cc289

Patch:

TYPO3 Security Bulletin TYPO3-CORE-SA-2016-019

https://typo3.org/teams/security/security-bulletins/typo3-core/typo3-core-sa-2016-019/

Patch:

Fedora Security Update FEDORA-2016-340e361b90 (Fedora 23, golang-1.5.4-2)

https://bodhi.fedoraproject.org/updates/FEDORA-2016-340e361b90

Patch:

Fedora Security Update FEDORA-2016-ea5e284d34 (Fedora 24, golang-1.6.3-1)

https://bodhi.fedoraproject.org/updates/FEDORA-2016-ea5e284d34

CVE-2016-5386: Schwachstelle in Golang ermöglicht Umgehen von
Sicherheitsvorkehrungen

Das Paket ‘net/http’ in Google Go (Golang) bis Version 1.6 versucht nicht,
einen durch RFC 3875 Sektion 4.1.18 bedingten Namensraumkonflikt zu
adressieren und schützt deshalb CGI-Anwendungen nicht vor nicht
vertrauenswürdigen Client-Daten in der HTTP_PROXY-Umgebungsvariablen.
Dadurch ist es mithilfe eines präparierten Proxy-Headers in einer
HTTP-Anfrage möglich, den ausgehenden HTTP-Verkehr einer CGI-Anwendung auf
einen beliebigen Proxy-Server umzuleiten. Das Problem ist unter dem Namen
‘httpoxy’ bekannt.

CVE-2016-5385: Schwachstelle in PHP ermöglicht Umgehen von
Sicherheitsvorkehrungen

PHP bis einschließlich Version 7.0.8 versucht nicht, einen durch RFC 3875
Sektion 4.1.18 bedingten Namensraumkonflikt zu adressieren und schützt
deshalb Anwendungen nicht vor nicht vertrauenswürdigen Client-Daten in der
HTTP_PROXY-Umgebungsvariablen. Dadurch ist es mithilfe eines präparierten
Proxy-Headers in einer HTTP-Anfrage – beispielsweise mittels einer
Anwendung, die einen getenv(‘HTTP_PROXY’) Aufruf tätigt oder durch eine
bestimmte CGI-Konfiguration von PHP – möglich, den ausgehenden HTTP-Verkehr
einer Anwendung auf einen beliebigen Proxy-Server umzuleiten. Das Problem
ist unter dem Namen ‘httpoxy’ bekannt.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2016-1157/

Drupal Security Advisory SA-CORE-2016-003:
https://www.drupal.org/SA-CORE-2016-003

Fedora Security Update FEDORA-2016-4e7db3d437 (Fedora 24,
php-guzzlehttp-guzzle6-6.2.1-1):
https://bodhi.fedoraproject.org/updates/FEDORA-2016-4e7db3d437

Fedora Security Update FEDORA-2016-9c8cf5912c (Fedora 23,
php-guzzlehttp-guzzle6-6.2.1-1):
https://bodhi.fedoraproject.org/updates/FEDORA-2016-9c8cf5912c

Fedora Security Update FEDORA-2016-aef8a45afe (Fedora 24,
php-guzzlehttp-guzzle-5.3.1-1):
https://bodhi.fedoraproject.org/updates/FEDORA-2016-aef8a45afe

Fedora Security Update FEDORA-2016-e2c8f5f95a (Fedora 23,
php-guzzlehttp-guzzle-5.3.1-1):
https://bodhi.fedoraproject.org/updates/FEDORA-2016-e2c8f5f95a

Fedora Security Update FEDORA-EPEL-2016-3a667cc289 (Fedora EPEL 7,
php-guzzlehttp-guzzle-5.3.1-1):
https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2016-3a667cc289

TYPO3 Security Bulletin TYPO3-CORE-SA-2016-019:
https://typo3.org/teams/security/security-bulletins/typo3-core/typo3-core-sa-2016-019/

“httpoxy” – Schwachstellen für CGI-Anwendungen (PHP, Go, Python):
https://httpoxy.org/

Schwachstelle CVE-2016-5385 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-5385

Schwachstelle CVE-2016-5386 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-5386

Fedora Security Update FEDORA-2016-340e361b90 (Fedora 23, golang-1.5.4-2):
https://bodhi.fedoraproject.org/updates/FEDORA-2016-340e361b90

Fedora Security Update FEDORA-2016-ea5e284d34 (Fedora 24, golang-1.6.3-1):
https://bodhi.fedoraproject.org/updates/FEDORA-2016-ea5e284d34

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben