UPDATE: DFN-CERT-2014-0688 Bibliothek libtasn1: Mehrere Schwachstellen ermöglichen Denial-of-Service-Angriffe und die Ausführung beliebigen Programmcodes [Linux][Fedora][RedHat][SuSE]

UPDATE: DFN-CERT-2014-0688 Bibliothek libtasn1: Mehrere Schwachstellen ermöglichen Denial-of-Service-Angriffe und die Ausführung beliebigen Programmcodes [Linux][Fedora][RedHat][SuSE]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 4 (24.07.2014):
Der Hersteller stellt für die Distributionen SUSE Linux Enterprise Server
11 SP3, Linux Enterprise Server 11 SP3 for VMware, Linux Enterprise
Desktop 11 SP3 und für das Linux Enterprise Software Development Kit 11
SP3 Sicherheitsupdates bereit.
Version 3 (23.07.2014):
Canonical stellt für die Distributionen Ubuntu 10.04 LTS, 12.04 LTS und
14.04 LTS Sicherheitsupdates bereit.
Version 2 (11.06.2014):
Für Red Hat Enterprise Linux 7 steht ein Sicherheitsupdate zur Verfügung.
Version 1 (02.06.2014):
Neues Advisory

Betroffene Software:

Libtasn1

Betroffene Plattformen:

SUSE Software Development Kit 11 SP3 Enterprise
Canonical Ubuntu Linux 10.04 Lts
Canonical Ubuntu Linux 12.04 Lts
Canonical Ubuntu Linux 14.04 Lts
SUSE Linux Enterprise Desktop 11 SP3
SUSE Linux Enterprise Server 11 SP3
SUSE Linux Enterprise Server 11 SP3 VMware
Red Hat Enterprise Linux 7
Red Hat Fedora 19
Red Hat Fedora 20

Durch mehrere Schwachstellen in libtasn1 Bibliothek ist es einem entfernten,
nicht authentifizierten Angreifer möglich, Denial-of-Service-Angriffe
durchzuführen oder beliebigen Programmcode zur Ausführung zu bringen.

Patch:

Fedora Security Update FEDORA-2014-6895

https://admin.fedoraproject.org/updates/FEDORA-2014-6895/libtasn1-3.6-1.fc20

Patch:

Fedora Security Update FEDORA-2014-6919

https://admin.fedoraproject.org/updates/FEDORA-2014-6919/libtasn1-3.6-1.fc19

Patch:

Red Hat Security Advisory RHSA-2014:0687

http://rhn.redhat.com/errata/RHSA-2014-0687.html

Patch:

Ubuntu Security Notice USN-2294-1

http://www.ubuntu.com/usn/usn-2294-1/

Patch:

SUSE Security Update: SUSE-SU-2014:0931-1

http://lists.opensuse.org/opensuse-security-announce/2014-07/msg00019.html

CVE-2014-3469: NULL-Pointer-Dereferenzierung in libtasn1

Es existiert eine NULL-Pointer-Dereferenzierung in der
“asn1_read_value_type()” und in der “asn1_read_value()” Funktion der
libtasn1-Bibliothek. Wenn eine Anwendung eine dieser Funktionen mit einem
NULL-Wert als iValue-Argument aufruft, wird eine bestimmte Menge an Speicher
benötigt, um die Daten aus der ASN.1-Eingabe zu speichern. libtasn1 könnte
fälschlicherweise versuchen den NULL-Pointer zu dereferenzieren und somit
die Anwendung zum Absturz zu bringen. Ein entfernter, nicht
authentifizierter Angreifer kann somit einen Denial-of-Service-Angriff
durchführen.

CVE-2014-3468: Schwachstelle in libtasn1

Durch eine Schwachstelle in der “asn1_get_bit_der()” Funktion der
libtasn1-Bibliothek kann es fälschlicherweise zur Rückgabe einer negativen
Bitlänge beim Lesen der ASN.1-Eingabe kommen. Dies kann in der Folge zum
Lesen außerhalb des zugeordneten Puffers führen, wodurch ein entfernter,
nicht authentifizierter Angreifer einen Denial-of-Service-Zustand bewirken
oder eventuell beliebigen Programmcode zur Ausführung bringen kann.

CVE-2014-3467: Lesen über Puffergrenzen in libtasn1 bewirkt
Denial-of-Service

Es existiert eine Schwachstelle bei der Prüfung von Puffergrenzen in der
libtasn1-Bibliothek. Hierdurch kann außerhalb des zugeordneten Puffers
gelesen werden. Ein entfernter, nicht authentifizierter Angreifer kann,
durch eine spezielle ASN.1-Eingabe, die Anwendung, die die Bibliothek
verwendet, zum Absturz bringen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-0688/

Fedora Security Update FEDORA-2014-6895:
https://admin.fedoraproject.org/updates/FEDORA-2014-6895/libtasn1-3.6-1.fc20

Fedora Security Update FEDORA-2014-6919:
https://admin.fedoraproject.org/updates/FEDORA-2014-6919/libtasn1-3.6-1.fc19

Schwachstelle CVE-2014-3467 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3467

Schwachstelle CVE-2014-3468 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3468

Schwachstelle CVE-2014-3469 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3469

Red Hat Security Advisory RHSA-2014:0687:
http://rhn.redhat.com/errata/RHSA-2014-0687.html

Ubuntu Security Notice USN-2294-1:
http://www.ubuntu.com/usn/usn-2294-1/

SUSE Security Update: SUSE-SU-2014:0931-1:
http://lists.opensuse.org/opensuse-security-announce/2014-07/msg00019.html

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.

© COMPUTEC MEDIA GmbH
Nach oben