DFN-CERT-2013-1099 Schwachstelle in GnuTLS [Linux][Fedora]

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Paket gnutls

Betroffene Plattformen:

Fedora 17
Fedora 18


Eine Schwachstelle in GnuTLS ermöglicht einem entfernten Angreifer einen
Denial-of-Service-Angriff durchzuführen.


Software Upgrade:

Der Hersteller stellt Updates zur Behebung der Schwachstelle bereit.

<http://dl.fedoraproject.org/pub/fedora/linux/updates/>


CVE-2013-2116: Schwachstelle in GnuTLS

In GnuTLS existiert ein Fehler in der Funktion
_gnutls_ciphertext2compressed(), der zu einem Zugriff auf Speicher außerhalb
der Puffergrenzen (out-of-bound) führt, da der zurückgegebene Wert für die
Padding-Bytes nicht mit der Länge des Chiffretext verglichen wird. Einem
entfernten Angreifer ist es dadurch möglich, den GnuTLS-Dienst zum Absturz
zu bringen.


Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
<https://portal.cert.dfn.de/adv/DFN-CERT-2013-1099/>

Das Hersteller Advisory:
<http://lists.fedoraproject.org/pipermail/package-announce/>

Schwachstelle CVE-2013-2116:
<http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-2116>


(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.