Kurzinfo CB-K16/0276

2 Risiko: niedrig
Information zu Schwachstellen und Sicherheitslücken
Titel: OkHttp: Eine Schwachstelle ermöglicht das Umgehen von Sicherheitsvorkehrungen
Datum: 18.02.2016
Software: OkHttp >= 2.1, OkHttp <= 3.1.1
Plattform: Red Hat Fedora 23
Auswirkung: Umgehen von Sicherheitsvorkehrungen
Remoteangriff: Ja
Risiko: niedrig
CVE Liste: CVE-2016-2402
Bezug: Fedora Security Update FEDORA-2016-65b7608d8b (Fedora 23)
Beschreibung

OkHttp ist ein Http-Klient für Google Android und Java-Anwendungen, der speziell auf die Verbesserung schwacher oder störanfälliger HTTP-Verbindungen abzielt.

Ein entfernter, nicht authentifizierter Angreifer kann beabsichtigte Sicherheitsvorkehrungen umgehen, da auch Zertifikaten aus nicht vertrauenswürdigen Quellen vertraut wird, wenn zusätzlich ein vertrauenswürdiges Zertifikat vorgelegt wird. Der Hersteller informiert darüber, dass die Schwachstelle in der Programmversion 3.1.2 behoben und dieser Fix als Backport auch in Version 2.7.4 eingebracht wurde. Für die Distribution Fedora 23 stehen mit den Paketen okhttp-2.7.4-1.fc23 und okio-1.6.0-1.fc23 Sicherheitsupdates zur Verfügung, die sich derzeit noch im Status 'pending' befinden.

  1. Change Log OkHttp

  2. Fedora Security Update FEDORA-2016-65b7608d8b (Fedora 23)

  3. Hersteller-Informationen zur Schwachstelle CVE-2016-2042

  4. Schwachstelle CVE-2016-2402 (NVD)

CERT-Bund bietet personalisierte Warn- und Informationsdienste an.
Bitte registrieren Sie sich, um diese Angebote nutzen zu können.