2021-1382: TLS-Server, nginx, vsftpd: Eine Schwachstelle ermöglicht das Umgehen von Sicherheitsvorkehrungen
Historie:
- Version 1 (2021-06-28 16:52)
- Neues Advisory
- Version 2 (2021-10-14 11:28)
- Für Fedora 34 steht ein Sicherheitsupdate für 'vsftpd' im Form des Pakets 'vsftpd-3.0.3-43.fc34' im Status 'testing' bereit, um die Schwachstelle zu beheben.
- Version 3 (2022-09-21 09:40)
- Für SUSE Linux Enterprise High Performance Computing 15 SP4, SUSE Linux Enterprise Module for Server Applications 15 SP4, SUSE Linux Enterprise Server 15 SP4, SUSE Linux Enterprise Server for SAP Applications 15 SP4, SUSE Manager Proxy 4.3, SUSE Manager Retail Branch Server 4.3, SUSE Manager Server 4.3 sowie openSUSE Leap 15.4 stehen Sicherheitsupdates für 'vsftpd' bereit, um die Schwachstelle zu beheben.
- Version 4 (2022-09-27 10:51)
- Für SUSE Linux Enterprise Server 12 SP5 steht ein Sicherheitsupdate für 'vsftpd' zur Behebung der Schwachstelle zur Verfügung.
- Version 5 (2022-09-29 10:24)
- Für SUSE CaaS Platform 4.0, SUSE Enterprise Storage 6, 7 und 7.1, SUSE Linux Enterprise High Performance Computing 15 ESPOS / LTSS, 15 SP1 ESPOS / LTSS, 15 SP2 ESPOS / LTSS und 15 SP3, SUSE Linux Enterprise Server 15 LTSS, 15 SP1 BCL / LTSS, 15 SP2 BCL / LTSS und 15 SP3, SUSE Linux Enterprise Server for SAP 15, 15 SP1 und 15 SP2, SUSE Linux Enterprise Server for SAP Applications 15 SP3, SUSE Manager Proxy 4.1 und 4.2, SUSE Manager Retail Branch Server 4.1 und 4.2, SUSE Manager Server 4.1 und 4.2 sowie openSUSE Leap 15.3 stehen Sicherheitsupdates für 'vsftpd' bereit, um die Schwachstelle zu beheben.
- Version 6 (2022-11-08 08:45)
- Für SUSE Linux Enterprise Server 12 SP5 steht ein neues Sicherheitsupdate für 'vsftpd' zur Behebung der Schwachstelle zur Verfügung.
- Version 7 (2022-11-23 17:23)
- Für SUSE Linux Enterprise High Performance Computing 15 ESPOS / LTSS, SUSE Linux Enterprise Server 15 LTSS und SUSE Linux Enterprise Server for SAP 15 stehen Sicherheitsupdates für 'nginx' bereit, um die Schwachstelle zu beheben.
- Version 8 (2022-11-24 08:49)
- Für SUSE Enterprise Storage 7.1, SUSE Linux Enterprise High Performance Computing 15 SP3, SUSE Linux Enterprise Module for Server Applications 15 SP3, SUSE Linux Enterprise Server 15 SP3, SUSE Linux Enterprise Server for SAP Applications 15 SP3, SUSE Manager Proxy 4.2, SUSE Manager Retail Branch Server 4.2, SUSE Manager Server 4.2 sowie für openSUSE Leap 15.3 und openSUSE Leap 15.4 stehen Sicherheitsupdates für 'nginx' bereit, um die Schwachstelle zu beheben.
- Version 9 (2022-11-29 16:55)
- Für SUSE CaaS Platform 4.0, SUSE Enterprise Storage 6 und 7, SUSE Linux Enterprise High Performance Computing 15 SP1 ESPOS / LTSS und 15 SP2 ESPOS / LTSS, SUSE Linux Enterprise Server 15 SP1 BCL / LTSS und 15 SP2 BCL / LTSS, SUSE Linux Enterprise Server for SAP 15 SP1 und 15 SP2, SUSE Manager Proxy 4.1, SUSE Manager Retail Branch Server 4.1 und SUSE Manager Server 4.1 stehen Sicherheitsupdates für 'nginx' bereit, um die Schwachstelle zu beheben.
- Version 10 (2023-09-19 09:33)
- Für Ubuntu 20.04 LTS steht ein Sicherheitsupdate für 'vsftpd' bereit, um die Schwachstelle zu beheben.
Betroffene Software
Server
Betroffene Plattformen
Cloud
Linux
Beschreibung:
Ein Angreifer in einer privilegierten Position im Netzwerk (Man-in-the-Middle) kann die Schwachstelle aus der Ferne ausnutzen, um Sicherheitsvorkehrungen zu umgehen und Datenverkehr von einem Server oder einer Subdomain zu einem anderen Server oder einer anderen Subdomain umzuleiten. Der Angriff ist unter dem Namen ALPACA (Application Layer Protocol Confusion - Analyzing and Mitigating Cracks in TLS Authentication) bekannt.
Für Fedora 33 und 34 sowie Fedora 33 Modular stehen Backport-Sicherheitsupdates zur Behebung der Schwachstelle in 'nginx' im Status 'testing' zur Verfügung. Die Schwachstelle wurde mit nginx 1.21.0 im Mai 2021 behoben.
Schwachstellen:
CVE-2021-3618
Schwachstelle in TLS-Servern ermöglicht Umgehen von Sicherheitsvorkehrungen
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.