DFN-CERT-2016-1124 Novell Identity Manager: Eine Schwachstelle ermöglicht das Ausspähen von Informationen [Linux][RedHat][SuSE][Windows]

DFN-CERT portal at dfn-cert.de
Wed Jul 13 12:00:01 CEST 2016


Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

  Novell Identity Manager 4.5
  

Betroffene Plattformen:

  Microsoft Windows Server 2012 R2
  SUSE Linux Enterprise Server 10
  SUSE Linux Enterprise Server 11
  Red Hat Enterprise Linux 6
  Red Hat Enterprise Linux 6.1
  Red Hat Enterprise Linux 7
  


Ein lokaler, einfach authentifizierter Angreifer kann eine Schwachstelle im
Novell Identity Manager 4.5 ServiceNow Driver ausnutzen, um Informationen
auszuspähen. 

Novell stellt den Identity Manager 4.5 ServiceNow Driver 1.0.0.1 für die
Behebung der Schwachstelle zur Verfügung.


Patch:

  Novell Security Update Novell-ADV-5247110

  <https://download.novell.com/Download?buildid=oZ2bTUJ5Nxs~>


CVE-2016-1603: Schwachstelle in Identity Manager 4.5 ServiceNow Driver
  ermöglicht Ausspähen von Informationen

  Es existiert eine Schwachstelle im Novell Identity Manager 4.5 ServiceNow
  Driver vor Version 1.0.0.1 im Kontext verschlüsselter Attribut-Werte, weil
  diese nach einer Benutzeranfrage in Log-Dateien gespeichert werden.


Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
  <https://portal.cert.dfn.de/adv/DFN-CERT-2016-1124/>

Novell Security Update Novell-ADV-5247110:
  <https://download.novell.com/Download?buildid=oZ2bTUJ5Nxs~>

Schwachstelle CVE-2016-1603 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-1603>


(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.
-------------- next part --------------
A non-text attachment was scrubbed...
Name: smime.p7s
Type: application/pkcs7-signature
Size: 4686 bytes
Desc: not available
URL: <https://lists.cert.uni-stuttgart.de/pipermail/security-announce/attachments/20160713/233d9fbd/attachment.bin>


More information about the Security-Announce mailing list