Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 4 (13.06.2014):
Canonical stellt Sicherheitsupdates für Ubuntu 14.04 LTS, Ubuntu 13.10 und
Ubuntu 12.04 LTS zur Verfügung.
Version 3 (11.06.2014):
Für Red Hat Enterprise Linux 7 steht ein Sicherheitsupdate zur Verfügung.
Version 2 (23.04.2014):
Für OpenSUSE 12.3 und 13.1 stehen nun Updates bereit.
Version 1 (16.04.2014):
Neues Advisory

Betroffene Software:

Canonical Ubuntu Linux 12.04 Lts
Canonical Ubuntu Linux 13.10
Canonical Ubuntu Linux 14.04 Lts
openSUSE 12.3
openSUSE 13.1
Red Hat Enterprise Linux 7
Red Hat Fedora 19
Red Hat Fedora 20

Betroffene Plattformen:

Canonical Ubuntu Linux
openSUSE
Red Hat Enterprise Linux
Red Hat Fedora

Mehrere Schwachstellen in json-c ermöglichen einem entfernten, nicht
authentifizierten Angreifer Denial-of-Service-Angriffe durchzuführen.

Patch:

Fedora Update FEDORA-2014-4975

https://admin.fedoraproject.org/updates/FEDORA-2014-4975/json-c-0.11-6.fc19

Patch:

Fedora Update FEDORA-2014-5006

https://admin.fedoraproject.org/updates/FEDORA-2014-5006/json-c-0.11-6.fc20

Patch:

openSUSE Security Update openSUSE-SU-2014:0558-1

http://lists.opensuse.org/opensuse-updates/2014-04/msg00059.html

Patch:

Red Hat Security Advisory RHSA-2014:0703

http://rhn.redhat.com/errata/RHSA-2014-0703.html

Patch:

Ubuntu Security Advisory USN-2245-1

http://www.ubuntu.com/usn/usn-2245-1/

CVE-2013-6371: Schwachstelle in JSON-C

Die Hash-Funktion von JSON-C ist schwach und das Parsen kleinerer
JSON-Strings zeigt quadratisches Zeitverhalten. Anwendungen, die mit der
JSON-C-Bibliothek gebunden sind und speziell gestaltete JSON-Daten
verarbeiten, können eine hohe CPU-Last verursachen. Ein entfernter, nicht
authentifizierter Angreifer kann dadurch Denial-of-Service-Angriffe
ausführen.

CVE-2013-6370: Schwachstelle in JSON-C

Die printbuf-APIs in der JSON-C-Bibliothek benutzen den Datentyp “int” zum
Zählen der Pufferlängen, die somit auch negativ werden können. Ein
entfernter, nicht authentifizierter Angreifer kann
Denial-of-Service-Angriffe durchführen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-0460/

Schwachstelle CVE-2013-6370 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-6370

Schwachstelle CVE-2013-6371 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-6371

Fedora Update FEDORA-2014-4975:
https://admin.fedoraproject.org/updates/FEDORA-2014-4975/json-c-0.11-6.fc19

Fedora Update FEDORA-2014-5006:
https://admin.fedoraproject.org/updates/FEDORA-2014-5006/json-c-0.11-6.fc20

openSUSE Security Update openSUSE-SU-2014:0558-1:
http://lists.opensuse.org/opensuse-updates/2014-04/msg00059.html

Red Hat Security Advisory RHSA-2014:0703:
http://rhn.redhat.com/errata/RHSA-2014-0703.html

Ubuntu Security Advisory USN-2245-1:
http://www.ubuntu.com/usn/usn-2245-1/

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 3 (11.06.2014):
Für Red Hat Enterprise Linux 7 steht ein Sicherheitsupdate zur Verfügung.
Version 2 (23.04.2014):
Für OpenSUSE 12.3 und 13.1 stehen nun Updates bereit.
Version 1 (16.04.2014):
Neues Advisory

Betroffene Software:

openSUSE 12.3
openSUSE 13.1
Red Hat Fedora 19
Red Hat Fedora 20

Betroffene Plattformen:

openSUSE
Red Hat Enterprise Linux 7
Red Hat Fedora

Mehrere Schwachstellen in json-c ermöglichen einem entfernten, nicht
authentifizierten Angreifer Denial-of-Service-Angriffe durchzuführen.

Patch:

Fedora Update FEDORA-2014-4975

https://admin.fedoraproject.org/updates/FEDORA-2014-4975/json-c-0.11-6.fc19

Patch:

Fedora Update FEDORA-2014-5006

https://admin.fedoraproject.org/updates/FEDORA-2014-5006/json-c-0.11-6.fc20

Patch:

openSUSE Security Update openSUSE-SU-2014:0558-1

http://lists.opensuse.org/opensuse-updates/2014-04/msg00059.html

Patch:

Red Hat Security Advisory RHSA-2014:0703

http://rhn.redhat.com/errata/RHSA-2014-0703.html

CVE-2013-6371: Schwachstelle in JSON-C

Die Hash-Funktion von JSON-C ist schwach und das Parsen kleinerer
JSON-Strings zeigt quadratisches Zeitverhalten. Anwendungen, die mit der
JSON-C-Bibliothek gebunden sind und speziell gestaltete JSON-Daten
verarbeiten, können eine hohe CPU-Last verursachen. Ein entfernter, nicht
authentifizierter Angreifer kann dadurch Denial-of-Service-Angriffe
ausführen.

CVE-2013-6370: Schwachstelle in JSON-C

Die printbuf-APIs in der JSON-C-Bibliothek benutzen den Datentyp “int” zum
Zählen der Pufferlängen, die somit auch negativ werden können. Ein
entfernter, nicht authentifizierter Angreifer kann
Denial-of-Service-Angriffe durchführen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-0460/

Schwachstelle CVE-2013-6370 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-6370

Schwachstelle CVE-2013-6371 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-6371

Fedora Update FEDORA-2014-4975:
https://admin.fedoraproject.org/updates/FEDORA-2014-4975/json-c-0.11-6.fc19

Fedora Update FEDORA-2014-5006:
https://admin.fedoraproject.org/updates/FEDORA-2014-5006/json-c-0.11-6.fc20

openSUSE Security Update openSUSE-SU-2014:0558-1:
http://lists.opensuse.org/opensuse-updates/2014-04/msg00059.html

Red Hat Security Advisory RHSA-2014:0703:
http://rhn.redhat.com/errata/RHSA-2014-0703.html

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.