[Sec-cert] DFN-CERT-2014-0130 Eine Schwachstelle ermöglicht Identitätsdiebstahl [Linux][Debian][Fedora]

portal at dfn-cert.de portal at dfn-cert.de
Mo Feb 3 12:35:01 CET 2014


Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

  cURL >= 7.10.6
  cURL <= 7.34.0
  libcurl >= 7.10.6
  libcurl <= 7.34.0
  

Betroffene Plattformen:

  Debian Linux 6.0.8 Squeeze
  Debian Linux 7.3 Wheezy
  Debian Linux 8.0 Jessie
  Red Hat Fedora 19
  Red Hat Fedora 20
  


Ein entfernter Angreifer kann diese Schwachstelle ausnutzen, um sich als ein
anderer Benutzer zu authentifizieren.


Patch:

  Debian Security Advisory DSA-2849

  <http://www.debian.org/security/2014/dsa-2849>

Patch:

  Fedora Update FEDORA-2014-1876

  <https://admin.fedoraproject.org/updates/FEDORA-2014-1876/curl-7.32.0-4.fc20>

Patch:

  Fedora Update FEDORA-2014-1864

  <https://admin.fedoraproject.org/updates/FEDORA-2014-1864/curl-7.29.0-13.fc19>


CVE-2014-0015: Schwachstelle in cURL und libcurl ermöglicht
  Identitätsdiebstahl

  In cURL und der Bibliothek libcurl kommt es zu einer Wiederverwendung von
  NTLM-Verbindungen, falls mehr als eine Authentifizierungsmethode aktiviert
  ist. Dies ermöglicht einem entfernten Angreifer in bestimmten Fällen, sich
  als ein anderer Benutzer zu authentifizieren und somit seine Identität
  anzunehmen.


Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
  <https://portal.cert.dfn.de/adv/DFN-CERT-2014-0130/>

Schwachstelle CVE-2014-0015 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0015>

Debian Security Advisory DSA-2849:
  <http://www.debian.org/security/2014/dsa-2849>

Fedora Update FEDORA-2014-1876:
  <https://admin.fedoraproject.org/updates/FEDORA-2014-1876/curl-7.32.0-4.fc20>

Fedora Update FEDORA-2014-1864:
  <https://admin.fedoraproject.org/updates/FEDORA-2014-1864/curl-7.29.0-13.fc19>


(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : smime.p7s
Dateityp    : application/pkcs7-signature
Dateigröße  : 4335 bytes
Beschreibung: nicht verfügbar
URL         : <https://listserv.uni-hohenheim.de/pipermail/sec-cert/attachments/20140203/625ed567/attachment.p7s>


Mehr Informationen über die Mailingliste Sec-cert