2017-0519: Links Web Browser: Mehrere Schwachstellen ermöglichen u.a. einen Man-in-the-Middle-Angriff

Historie:

Version 1 (2017-03-23 17:33)

Neues Advisory

Version 2 (2017-06-26 19:56)

Für openSUSE Leap 42.2 steht Links 2.14 als empfohlenes Update bereit.

Betroffene Software

Office

Betroffene Plattformen

Linux

Beschreibung:

Ein entfernter, nicht authentifizierter Angreifer kann eine privilegierte Position im Netzwerk für einen Mittelsmann-Angriff (Man-in-the-Middle, MitM) ausnutzen. Diese Schwachstelle ist unter dem Namen FALSECONNECT bekannt. Zwei weitere Schwachstellen in OpenSSL und GnuTLS ermöglichen einem entfernten, nicht authentisierten Angreifer das Ausspähen von Informationen (CRIME, CVE-2012-4929) und das Umgehen von Sicherheitsvorkehrungen (SWEET32, beispielsweise CVE-2016-2183).

Für den Browser Links steht die Version 2.14 als Sicherheitsupdate bereit. Zur Mitigation von SWEET32 wird in dieser Version die Keepalive-Zeit von Chiffren mit einer Blockgröße von 64-Bit beschränkt, zur Mitigation von CRIME wird die SSL-Kompression deaktiviert und zur Mitigation von FALSECONNECT werden '407 Proxy Authentication Required'-Antworten nicht mehr geladen oder gerendert.

Für Fedora 26 steht ein Sicherheitsupdate auf Link 2.14 im Status 'testing' bereit.

Schwachstellen:

CVE-2012-4929

Schwachstelle in OpenSSL Datenkomprimierung

CVE-2016-2183

Schwachstelle in SSL/TLS ermöglicht Umgehen von Sicherheitsvorkehrungen

FALSECONNECT

Schwachstelle in HTTP CONNECT-Anfragen über Proxy ermöglicht Man-in-the-Middle-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.