UPDATE: DFN-CERT-2016-1277 389 Directory Server: Eine Schwachstelle ermöglicht das Ausspähen von Informationen [Linux][Fedora]

UPDATE: DFN-CERT-2016-1277 389 Directory Server: Eine Schwachstelle ermöglicht das Ausspähen von Informationen [Linux][Fedora]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 2 (15.08.2016):
Für Fedora 23 steht zur Behebung der Schwachstelle ein Sicherheitsupdate
für ‘389-ds-base’ auf die Version 1.3.4.14 im Status ‘testing’ bereit.
Version 1 (09.08.2016):
Neues Advisory

Betroffene Software:

389 Directory Server

Betroffene Plattformen:

Red Hat Fedora 23
Red Hat Fedora 24

Eine Schwachstelle im 389 Directory Server ermöglicht einem entfernten,
einfach authentisierten Angreifer das Ausspähen von Informationen.

Für Fedora 24 steht ein BugFix-Update für ‘389-ds-base’ auf die Version
1.3.5.13 im Status ‘testing’ zur Verfügung. Die Behebung der Schwachstelle
erfolgte bereits in der Version 1.3.5.12, das zugehörige Sicherheitsupdate
wurde allerdings kurz nach Bereitstellung in den Status ‘obsolete’
überführt. In der Version 1.3.5.13 ist die Korrektur für die Schwachstelle
enthalten.

Patch:

Fedora Securtiy Update FEDORA-2016-86434d618d (Fedora 24,
389-ds-base-1.3.5.12) [obsolete]

https://bodhi.fedoraproject.org/updates/FEDORA-2016-86434d618d

Patch:

Fedora Security Update FEDORA-2016-9dbfb2480e (Fedora 24,
389-ds-base-1.3.5.13)

https://bodhi.fedoraproject.org/updates/FEDORA-2016-9dbfb2480e

Patch:

Fedora Security Update FEDORA-2016-b1a36cccc8 (Fedora 23,
389-ds-base-1.3.4.14)

https://bodhi.fedoraproject.org/updates/FEDORA-2016-b1a36cccc8

CVE-2016-4992: Schwachstelle in 389 Directory Server ermöglicht Ausspähen
von Informationen

Eine Schwachstelle im 389 Directory Server ermöglicht es Informationen über
Objekte auszuspähen. Ein Benutzer ohne Rechte für Objekte in Unterbäumen
kann durch mehrfaches Ausführen der ‘LDAP ADD’-Operation mit erratenen
Werten von RDN-Komponenten Fehlermeldungen provozieren in denen sensible
Informationen offengelegt werden.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2016-1277/

Schwachstelle CVE-2016-4992 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-4992

Fedora Securtiy Update FEDORA-2016-86434d618d (Fedora 24,
389-ds-base-1.3.5.12) [obsolete]:
https://bodhi.fedoraproject.org/updates/FEDORA-2016-86434d618d

Fedora Security Update FEDORA-2016-9dbfb2480e (Fedora 24,
389-ds-base-1.3.5.13):
https://bodhi.fedoraproject.org/updates/FEDORA-2016-9dbfb2480e

Fedora Security Update FEDORA-2016-b1a36cccc8 (Fedora 23,
389-ds-base-1.3.4.14):
https://bodhi.fedoraproject.org/updates/FEDORA-2016-b1a36cccc8

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben