Kurzinfo CB-K16/0397 Update 2

2 Risiko: niedrig
Information zu Schwachstellen und Sicherheitslücken
Titel: OpenSSH: Eine Schwachstelle ermöglicht Ausspähen von Informationen
Datum: 17.03.2016
Software: OpenBSD OpenSSH < 7.2 P2
Plattform: FreeBSD <= 9.3-RELEASE-p38, FreeBSD 9.3-STABLE, FreeBSD <= 10.1-RELEASE-p30, FreeBSD <= 10.2-RELEASE-p13, FreeBSD 10.2-STABLE, FreeBSD <= 10.3-RC1, OpenBSD 5.7, OpenBSD 5.8, OpenBSD 5.9, Red Hat Fedora 22, Red Hat Fedora 23, Red Hat Fedora 24
Auswirkung: Ausspähen von Informationen
Remoteangriff: Ja
Risiko: niedrig
CVE Liste: CVE-2016-3115
Bezug: OpenBSD Security Advisory OpenBSD 5.7
Beschreibung

Das Programmpaket OpenSSH implementiert das Secure Shell / SSH-Protokoll inklusive des SSH File Transfer Protokolls, das Clients, Dienstprogramme und einen Server umfasst.

Ein entfernter, nicht authentifizierter Angreifer kann durch speziell präparierte Berechtigungsnachweise, die er zum Aufbau einer Verbindung zu einer X11-Oberfläche als Parameter übergibt, beliebigen Programmcode an 'xauth' übergeben. Dadurch kann er Lese- und Schreibzugriff auf alle Dateien des angemeldeten Benutzers erhalten, sich mit lokalen Ports verbinden und weitere Angriffe auf 'xauth' ausführen. Der Hersteller informiert über die Schwachstelle für OpenSSH mit aktivierter 'X11Forwarding'-Option und behebt diese mit der Programmversion OpenSSH 7.2p2. Für OpenBSD 5.7, 5.8 und 5.9 werden entsprechende Sicherheitsupdates zur Verfügung gestellt. Für Fedora 22 und 23 steht die aktuelle Version als (Backport-)Sicherheitsupdate in Form der Pakete openssh-6.9p1-11.fc22 bzw. openssh-7.2p2-1.fc23 im Status 'pending' bereit. Update. FreeBSD informiert, dass alle derzeit unterstützten FreeBSD Versionen von der Schwachstelle betroffen sind und stellt Sicherheitsupdates für die Versionen 9.3-STABLE und 10.2-STABLE sowie in Form der Releases bzw. des Release-Kandidaten 9.3-RELEASE-p39, 10.1-RELEASE-p31, 10.2-RELEASE-p14 und 10.3-RC2 bereit.

  1. OpenBSD Security Advisory OpenBSD 5.7

  2. OpenBSD Security Advisory OpenBSD 5.8

  3. Fedora Security Update FEDORA-2016-bb59db3c86 (Fedora 23)

  4. Fedora Security Update FEDORA-2016-d339d610c1 (Fedora 22)

  5. OpenBSD Security Advisory OpenBSD 5.9

  6. OpenSSH Security Release 7.2p2

  7. OpenSSH Security Advisory: x11fwd.adv

  8. Fedora Security Update FEDORA-2016-0bcab055a7 (Fedora 24)

  9. Schwachstelle CVE-2016-3115 (NVD)

  10. FreeBSD Security Advisory FreeBSD-SA-16%3A14.openssh

CERT-Bund bietet personalisierte Warn- und Informationsdienste an.
Bitte registrieren Sie sich, um diese Angebote nutzen zu können.