UPDATE: DFN-CERT-2017-1333 PKI Core: Eine Schwachstelle ermöglicht das Umgehen von Sicherheitsvorkehrungen [Linux][RedHat]

UPDATE: DFN-CERT-2017-1333 PKI Core: Eine Schwachstelle ermöglicht das Umgehen von Sicherheitsvorkehrungen [Linux][RedHat]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 2 (10.08.2017):
Oracle stellt für Oracle Linux 7 (x86_64) analog zum Sicherheitsupdate für
Red Hat Enterprise Linux 7 ein Update für ‘pki-core’ bereit, mit dem die
Schwachstelle CVE-2017-7537 behoben wird.
Version 1 (02.08.2017):
Neues Advisory

Betroffene Software:

PKI Core

Betroffene Plattformen:

Oracle Linux 7
Red Hat Enterprise Linux for Scientific Computing 7
Red Hat Enterprise Linux for Power (big endian) EUS 7.4
Red Hat Enterprise Linux 7.4 EUS Compute Node
Red Hat Enterprise Linux for IBM z Systems EUS 7.4
Red Hat Enterprise Linux for Power (little endian) EUS 7.4
Red Hat Enterprise Linux Desktop 7
Red Hat Enterprise Linux HPC Node 7
Red Hat Enterprise Linux Server 7
Red Hat Enterprise Linux Server for ARM 7
Red Hat Enterprise Linux Server 7.4 AUS
Red Hat Enterprise Linux Server 7.4 EUS
Red Hat Enterprise Linux Server 7.4 TUS
Red Hat Enterprise Linux Workstation 7

Eine Schwachstelle in PKI Core ermöglicht einem entfernten, nicht
authentisierten Angreifer das Umgehen von Sicherheitsvorkehrungen, wodurch
dieser einen CA-Server zur Ausstellung von Zertifikaten ausnutzen kann.

Red Hat stellt für die Red Hat Enterprise Linux 7 Produktvarianten Server,
Desktop, Workstation und HPC Node sowie für die Red Hat Enterprise Linux
Server 7.4 Produktvarianten Advanced Update Support (AUS), Extended Update
Support (EUS) und Telecom Update Support (TUS) Sicherheitsupdates für
‘pki-core’ bereit.

Patch:

Red Hat Security Advisory RHSA-2017:2335

http://rhn.redhat.com/errata/RHSA-2017-2335.html

Patch:

Oracle Linux Security Advisory ELSA-2017-2335

https://linux.oracle.com/errata/ELSA-2017-2335.html

CVE-2017-7537: Schwachstelle in PKI Core ermöglicht Umgehen von
Sicherheitsvorkehrungen

Durch einen Fehler ist in PKI Core standarmäßig ein Pseudo (Mock)
CMC-Authentifizierungs-Plugin aktiviert, in dem ein hartcodiertes Geheimnis
(Secret) enthalten ist. Ein Angreifer ist dadurch in der Lage den
Authentifizierungsprozess zu umgehen und einen CA-Server zur Ausstellung von
Zertifikaten zu bringen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-1333/

Schwachstelle CVE-2017-7537 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-7537

Red Hat Security Advisory RHSA-2017:2335:
http://rhn.redhat.com/errata/RHSA-2017-2335.html

Oracle Linux Security Advisory ELSA-2017-2335:
https://linux.oracle.com/errata/ELSA-2017-2335.html

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben