Diverse kwetsbaarheden verholpen in cURL

De makers van cURL hebben diverse kwetsbaarheden verholpen in de wijze waarop cURL omgaat met TLS-verbindingen.

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

   #####################################################
  ##  N C S C ~ B E V E I L I G I N G S A D V I E S  ##
 #####################################################

######################## UPDATE 1.03 #############################

Titel           : Diverse kwetsbaarheden verholpen in cURL
Advisory ID     : NCSC-2016-0709
Versie          : 1.03
Kans            : medium
CVE ID          : CVE-2016-5419, CVE-2016-5420, CVE-2016-5421,
                  CVE-2016-7141
                  (http://cve.mitre.org/cve/)
Schade          : high
                  Omzeilen van beveiligingsmaatregel
                  Remote code execution (Gebruikersrechten)
                  Toegang tot gevoelige gegevens
Uitgiftedatum   : 20160926
Toepassing      : GNU cURL
Versie(s)       : 
Platform(s)     : Ubuntu 
                  Debian 
                  SUSE
                  OpenSUSE

Update
   OpenSUSE heeft updates uitgebracht voor OpenSUSE Linux Enterprise
   12.1 die de kwetsbaarheden verhelpen. Zie "Mogelijke oplossingen"
   voor meer informatie.

Samenvatting
   De makers van cURL hebben diverse kwetsbaarheden verholpen in de
   wijze waarop cURL omgaat met TLS-verbindingen.

Gevolgen
   Een kwaadwillende kan de kwetsbaarheden misbruiken voor het omzeilen
   van een beveiligingsmaatregel en het verkrijgen van gevoelige
   informatie of uitvoeren van willekeurige code.

Beschrijving
   - CVE-2016-5419
   libcurl hergebruikt een TLS-verbinding na wijzigen van het client
   certificaat.
   
   - CVE-2016-5420
   libcurl houdt geen rekening met client certificaten bij het opnieuw
   opbouwen/hergebruiken van een reeds bestaande TLS-verbinding.
   
   - CVE-2016-5421
   libcurl bevat een use-after-free-kwetsbaarheid. Een kwaadwillende
   kan hiermee mogelijk willekeurige code uitvoeren door een eerder
   geleegd CURL-object te vullen met eigen data en de pointer opnieuw
   aan libcurl aan te bieden.
   
   - CVE-2016-7141
   NSS bevat een kwetsbaarheid met het verkeerd hergebruiken van client
   certificaten wanneer een certificaat vanaf een bestand wordt
   gebruikt voor een TLS verbinding, maar wanneer geen certificaat is
   ingesteld voor de daarop volgende verbinding. 

Mogelijke oplossingen
   De makers van cURL hebben updates uitgebracht om de kwetsbaarheden
   te verhelpen. Deze updates zijn verwerkt in curl en libcurl 7.50.1.
   Voor meer informatie zie:
   
   https://curl.haxx.se/changes.html#7_50_1
   
   -= Debian =-
   Debian heeft updates van curl beschikbaar gesteld voor Debian 7.0
   (Wheezy) en Debian 8.0 (Jessie) om de kwetsbaarheden te verhelpen. U
   kunt de aangepaste packages installeren door gebruik te maken van
   'apt-get update' en 'apt-get upgrade'. Meer informatie kunt u vinden
   op onderstaande pagina:
   
   https://www.debian.org/security/2016/dsa-3638
   
   -= OpenSUSE =-
   De ontwikkelaars van OpenSUSE hebben updates beschikbaar gesteld om
   de kwetsbaarheden te verhelpen in OpenSUSE 12.1. U kunt deze
   aangepaste packages installeren door gebruik te maken van 'zypper'.
   U kunt ook gebruik maken van YAST of de updates handmatig downloaden
   van de SUSE FTP-server (ftp.suse.com). Voor meer informatie, zie:
   
   http://lists.suse.com/pipermail/sle-security-updates/2016-September
      /002278.html
   
   -= SUSE =-
   SUSE heeft updates beschikbaar gesteld om de kwetsbaarheden te
   verhelpen in SUSE 12. U kunt deze aangepaste packages installeren
   door gebruik te maken van 'YaST'. U kunt de packages ook handmatig
   downloaden van de SUSE FTP-server (ftp.suse.com). Voor meer
   informatie, zie:
   
   http://lists.suse.com/pipermail/sle-security-updates/2016-September
      /002278.html
   
   -= Ubuntu =-
   Ubuntu heeft updates beschikbaar gesteld voor Ubuntu 12.04 LTS,
   14.04 LTS en 16.04 LTS om de kwetsbaarheden te verhelpen. U kunt de
   aangepaste packages installeren door gebruik te maken van 'apt-get
   update' en 'apt-get upgrade'. Meer informatie kunt u vinden op
   onderstaande pagina:
   
   http://www.ubuntu.com/usn/usn-3048-1/

Vrijwaringsverklaring
   Door gebruik van deze security advisory gaat u akkoord met de
   navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke
   zorg heeft betracht bij de samenstelling van dit beveiligingsadvies,
   kan het NCSC niet instaan voor de volledigheid, juistheid of
   (voortdurende) actualiteit van dit beveiligingsadvies. De informatie
   in dit beveiligingsadvies is uitsluitend bedoeld als algemene
   informatie voor professionele partijen. Aan de informatie in dit
   beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC
   en de Staat zijn niet aansprakelijk voor enige schade ten gevolge
   van het gebruik of de onmogelijkheid van het gebruik van dit 
   beveiligingsadvies, waaronder begrepen schade ten gevolge van de 
   onjuistheid of onvolledigheid van de informatie in dit
   beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht
   van toepassing. Alle geschillen in verband met en/of voortvloeiend
   uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief
   bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de
   voorzieningenrechter in kort geding.


-----BEGIN PGP SIGNATURE-----
Version: Encryption Desktop 10.3.2 (Build 16620)
Charset: utf-8
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=f7Kz
-----END PGP SIGNATURE-----

Wat is het NCSC?

CSBN 2018

Nederland digitaal veilig