2017-0856: AuthConfig: Eine Schwachstelle ermöglicht das Ausspähen von Informationen

Historie:

Version 1 (2017-05-18 11:22)

Neues Advisory

Version 2 (2017-08-01 12:18)

Für Red Hat Enterprise Linux 7 stehen Backport-Sicherheitsupdates für AuthConfig 6.2.8 bereit. Die Sicherheitsupdates stehen für Red Hat Enterprise Linux Desktop, Workstation, Server und Server for ARM sowie für Red Hat Enterprise Linux for IBM z Systems, Red Hat Enterprise Linux for Scientific Computing, Red Hat Enterprise Linux for Power, big endian und Red Hat Enterprise Linux for Power, little endian zur Verfügung.

Version 3 (2017-08-01 18:00)

Für Red Hat Enterprise Linux HPC Node 7 steht ebenfalls ein Backport-Sicherheitsupdate für AuthConfig auf Version 6.2.8 bereit.

Version 4 (2017-08-08 20:12)

Oracle stellt für Oracle Linux 7 (x86_64) ein Sicherheitsupdate für 'authconfig' bereit, mit dem die Schwachstelle behoben wird.

Betroffene Software

Sicherheit
Systemsoftware

Betroffene Plattformen

Linux
Oracle

Beschreibung:

Eine Schwachstelle in AuthConfig 6.2.8 ermöglicht es einem entfernten, nicht authentisierten Angreifer, Unterschiede in der Verarbeitungszeit von Anmeldeversuchen mit gültigen und ungültigen Benutzernamen festzustellen, wodurch die Existenz bestehender Benutzernamen nachgewiesen werden kann.

Für Fedora 26 steht AuthConfig in der Version 7.0.1 als Sicherheitsupdate im Status 'testing' bereit. Falls fehlerhafte Konfigurationen vorliegen, können diese durch einen Aufruf von 'authconfig --updateall' durch den Systemadministrator im Anschluss an das Update beseitigt werden.

Schwachstellen:

CVE-2017-7488

Schwachstelle in AuthConfig ermöglicht Ausspähen von Informationen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.