[Sec-cert] UPDATE: DFN-CERT-2014-0130 Eine Schwachstelle ermöglicht Identitätsdiebstahl [Linux][Debian][Fedora][SuSE]

portal at dfn-cert.de portal at dfn-cert.de
Mo Feb 24 11:40:02 CET 2014


Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
  Version 4 (24.02.2014):
    Die Schwachstelle ist jetzt in openSUSE 11.4, 12.3 und 13.1 behoben.
  Version 3 (10.02.2014):
    Die Schwachstelle ist jetzt in SUSE Linux Enterprise Server 11, SUSE Linux
    Enterprise Desktop 11, dem SUSE Linux Enterprise Software Development Kit
    11 und SUSE Studio Onsite 1.3 behoben.
  Version 2 (04.02.2014):
    Die Schwachstelle ist jetzt in den Ubuntu Versionen 13.10, 12.10, 12.04
    LTS und 10.04 LTS behoben.
  Version 1 (03.02.2014):
    Neues Advisory

Betroffene Software:

  cURL >= 7.10.6
  cURL <= 7.34.0
  libcurl >= 7.10.6
  libcurl <= 7.34.0
  SUSE Studio Onsite 1.3
  

Betroffene Plattformen:

  Novell SUSE Software Development Kit  11 SP2 Enterprise
  Novell SUSE Software Development Kit  11 SP3 Enterprise
  Canonical Ubuntu Linux 10.04 Lts
  Canonical Ubuntu Linux 12.04 Lts
  Canonical Ubuntu Linux 12.10
  Canonical Ubuntu Linux 13.10
  Debian Linux 6.0.8 Squeeze
  Debian Linux 7.3 Wheezy
  Debian Linux 8.0 Jessie
  openSUSE 11.4
  openSUSE 12.3
  openSUSE 13.1
  Novell SUSE Linux Enterprise Desktop 11 SP2
  Novell SUSE Linux Enterprise Desktop 11 SP3
  Novell SUSE Linux Enterprise Server 11 SP2
  Novell SUSE Linux Enterprise Server 11 SP2 VMware
  Novell SUSE Linux Enterprise Server 11 SP3
  Novell SUSE Linux Enterprise Server 11 SP3 VMware
  Red Hat Fedora 19
  Red Hat Fedora 20
  


Ein entfernter Angreifer kann diese Schwachstelle ausnutzen, um sich als ein
anderer Benutzer zu authentifizieren.


Patch:

  Debian Security Advisory DSA-2849

  <http://www.debian.org/security/2014/dsa-2849>

Patch:

  Fedora Update FEDORA-2014-1876

  <https://admin.fedoraproject.org/updates/FEDORA-2014-1876/curl-7.32.0-4.fc20>

Patch:

  Fedora Update FEDORA-2014-1864

  <https://admin.fedoraproject.org/updates/FEDORA-2014-1864/curl-7.29.0-13.fc19>

Patch:

  Ubuntu Security Notice USN-2097-1

  <http://www.ubuntu.com/usn/usn-2097-1>

Patch:

  SUSE Security Update: SUSE-SU-2014:0175-2

  <https://www.suse.com/support/update/announcement/2014/suse-su-20140175-2.html>

Patch:

  SUSE Security Update: SUSE-SU-2014:0175-1

  <https://www.suse.com/support/update/announcement/2014/suse-su-20140175-1.html>

Patch:

  SUSE Security Update: SUSE-SU-2014:0171-1

  <https://www.suse.com/support/update/announcement/2014/suse-su-20140171-1.html>

Patch:

  openSUSE Security Update: openSUSE-SU-2014:0267-1

  <http://lists.opensuse.org/opensuse-updates/2014-02/msg00059.html>

Patch:

  openSUSE Security Update: openSUSE-SU-2014:0274-1

  <http://lists.opensuse.org/opensuse-updates/2014-02/msg00066.html>


CVE-2014-0015: Schwachstelle in cURL und libcurl ermöglicht
  Identitätsdiebstahl

  In cURL und der Bibliothek libcurl kommt es zu einer Wiederverwendung von
  NTLM-Verbindungen, falls mehr als eine Authentifizierungsmethode aktiviert
  ist. Dies ermöglicht einem entfernten Angreifer in bestimmten Fällen, sich
  als ein anderer Benutzer zu authentifizieren und somit seine Identität
  anzunehmen.


Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
  <https://portal.cert.dfn.de/adv/DFN-CERT-2014-0130/>

Schwachstelle CVE-2014-0015 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0015>

Debian Security Advisory DSA-2849:
  <http://www.debian.org/security/2014/dsa-2849>

Fedora Update FEDORA-2014-1876:
  <https://admin.fedoraproject.org/updates/FEDORA-2014-1876/curl-7.32.0-4.fc20>

Fedora Update FEDORA-2014-1864:
  <https://admin.fedoraproject.org/updates/FEDORA-2014-1864/curl-7.29.0-13.fc19>

Ubuntu Security Notice USN-2097-1:
  <http://www.ubuntu.com/usn/usn-2097-1>

SUSE Security Update: SUSE-SU-2014:0175-2:
  <https://www.suse.com/support/update/announcement/2014/suse-su-20140175-2.html>

SUSE Security Update: SUSE-SU-2014:0175-1:
  <https://www.suse.com/support/update/announcement/2014/suse-su-20140175-1.html>

SUSE Security Update: SUSE-SU-2014:0171-1:
  <https://www.suse.com/support/update/announcement/2014/suse-su-20140171-1.html>

openSUSE Security Update: openSUSE-SU-2014:0267-1:
  <http://lists.opensuse.org/opensuse-updates/2014-02/msg00059.html>

openSUSE Security Update: openSUSE-SU-2014:0274-1:
  <http://lists.opensuse.org/opensuse-updates/2014-02/msg00066.html>


(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : smime.p7s
Dateityp    : application/pkcs7-signature
Dateigröße  : 4335 bytes
Beschreibung: nicht verfügbar
URL         : <https://listserv.uni-hohenheim.de/pipermail/sec-cert/attachments/20140224/a94b18a9/attachment.p7s>


Mehr Informationen über die Mailingliste Sec-cert