800+ IT
News
als RSS Feed abonnieren๐ Apache Qpid bis 0.13.0 auf Windows Proton Library Certificate schwache Authentisierung
๐ก Newskategorie: Sicherheitslรผcken
๐ Quelle: vuldb.com
Es wurde eine kritische Schwachstelle in Apache Qpid bis 0.13.0 auf Windows ausgemacht. Betroffen hiervon ist eine unbekannte Funktion der Komponente Proton Library. Durch Beeinflussen durch Certificate kann eine schwache Authentisierung-Schwachstelle ausgenutzt werden. Mit Auswirkungen muss man rechnen für Vertraulichkeit, Integrität und Verfügbarkeit.
Die Schwachstelle wurde am 15.07.2016 in Form eines bestätigten Release Notess (Website) publik gemacht. Das Advisory kann von qpid.apache.org heruntergeladen werden. Die Verwundbarkeit wird unter CVE-2016-4467 geführt. Es sind weder technische Details noch ein Exploit zur Schwachstelle bekannt. Das Advisory weist darauf hin:
Messaging applications using the Proton C library to provide SSL/TLS authentication on Windows can falsely authenticate a server whose name does not match the server name in the connection specifier. Proton C bindings are affected to a greater or lesser degree depending on how they use the underlying Proton C library. In Proton C, this can only happen if PN_SSL_VERIFY_PEER_NAME has been specified as the verification mode and pn_ssl_set_peer_hostname() has not been called at all or has been called with a NULL value for a particular pn_ssl_t object. In the Proton C++ binding, this will always happen unless the application has separately specified a virtual_host name for an SSL/TLS connection. In the Proton Python and Ruby bindings, this will only happen if the application has separately specified a NULL virtual_host name for an SSL/TLS connection after creating the connection but before the authentication step. Ein Upgrade auf die Version 0.13.1 vermag dieses Problem zu beheben. Das Advisory stellt fest:
Proton release 0.13.1 resolves this issue in the SChannel-based security layer by obtaining a default non-NULL peer hostname from the associated connection address when initialized and by always failing hostname verification if PN_SSL_VERIFY_PEER_NAME has been specified along with a NULL peer hostname. This resolution matches the associated behaviour of the OpenSSL-based security layer.Mitunter wird der Fehler auch in der Verwundbarkeitsdatenbank von SecurityTracker (ID 1036316) dokumentiert.
CVSSv3
Base Score: ≈5.5 [?]Temp Score: ≈5.3 [?]
Vector: CVSS:3.0/AV:A/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L/E:X/RL:O/RC:C [?]
Zuverlässigkeit: Low
CVSSv2
Base Score: ≈4.1 (CVSS2#AV:A/AC:M/Au:S/C:P/I:P/A:P) [?]Temp Score: ≈3.6 (CVSS2#E:ND/RL:OF/RC:C) [?]
Zuverlässigkeit: Low
CPE
Exploiting
Klasse: Schwache AuthentisierungLokal: Ja
Remote: Nein
Verfügbarkeit: Nein
Aktuelle Preisschätzung: $0-$1k (0-day) / $0-$1k (Heute)
Gegenmassnahmen
Empfehlung: UpgradeStatus: Offizieller Fix
0-Day Time: 0 Tage seit gefunden
Upgrade: Qpid 0.13.1
Timeline
15.07.2016 Advisory veröffentlicht15.07.2016 SecurityTracker Eintrag erstellt
16.07.2016 VulDB Eintrag erstellt
16.07.2016 VulDB Eintrag aktualisiert
Quellen
Advisory: qpid.apache.orgStatus: Bestätigt
CVE: CVE-2016-4467 (mitre.org) (nvd.nist.org) (cvedetails.com)
SecurityTracker: 1036316 - Apache Qpid Proton Library Lets Remote Users Bypass Certificate Validation on Windows-Based Systems
Eintrag
Erstellt: 16.07.2016Eintrag: 76.8% komplett
...