UPDATE: DFN-CERT-2014-1415 Quassel IRC, Konversation: Eine Schwachstelle ermöglicht Denial-of-Service-Angriff und das Ausspähen von Informationen [Linux][Debian][Fedora]

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 3 (10.11.2014):
Für Debian Wheezy steht ein Sicherheitsupdate von Konversation zur
Verfügung.
Version 2 (03.11.2014):
Für Debian Wheezy steht ein Sicherheitsupdate zur Verfügung.
Version 1 (28.10.2014):
Neues Advisory

Betroffene Software:

Quassel IRC

Betroffene Plattformen:

Debian Linux 7.7 (Wheezy)
Red Hat Fedora 19
Red Hat Fedora 20
Red Hat Fedora 21
Extra Packages for Red Hat Enterprise Linux 6
Extra Packages for Red Hat Enterprise Linux 7

Ein Schwachstelle in den Internet Relay Chat (IRC)-Clients Quassel und
Konversation ermöglicht einem entfernten, nicht authentifizierten Angreifer
das Herbeiführen eines Denial-of-Service-Zustands und das Ausspähen von
Informationen.

Patch:

Fedora Security Update FEDORA-2014-13702

https://admin.fedoraproject.org/updates/FEDORA-2014-13702/konversation-1.5-6.fc19

Patch:

Fedora Security Update FEDORA-2014-13791

https://admin.fedoraproject.org/updates/FEDORA-2014-13791/konversation-1.5-6.fc20

Patch:

Fedora Security Update FEDORA-2014-13837

https://admin.fedoraproject.org/updates/FEDORA-2014-13837/konversation-1.5-6.fc21

Patch:

Fedora Security Update FEDORA-EPEL-2014-3647

https://admin.fedoraproject.org/updates/FEDORA-EPEL-2014-3647/konversation-1.3.1-2.el6

Patch:

Fedora Security Update FEDORA-EPEL-2014-3664

https://admin.fedoraproject.org/updates/FEDORA-EPEL-2014-3664/konversation-1.5-6.el7

Patch:

Debian Security Advisory DSA-3063-1

https://www.debian.org/security/2014/dsa-3063

Patch:

KDE Project Security Advisory KDE-advisory-20141104-1

http://kde.org/info/security/advisory-20141104-1.txt

Patch:

Debian Security Advisory DSA-3068-1

https://www.debian.org/security/2014/dsa-3068

CVE-2014-8483: Schwachstelle in Quassel und Konversation ermöglicht
Denial-of-Service-Angriff und das Ausspähen von Informationen

Eine Schwachstelle in der blowfishECB-Function in core/cipher.cpp von
Quassel führt dazu, dass über die Grenzen eines zugewiesenen Heap-Bereichs
hinaus gelesen wird. Ein entfernter, nicht authentifizierter Angreifer kann
mit einer speziell präparierten Zeichenkette einen Denial-of-Service-Zustand
herbeiführen oder Informationen ausspähen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-1415/

Fedora Security Update FEDORA-2014-13702:
https://admin.fedoraproject.org/updates/FEDORA-2014-13702/konversation-1.5-6.fc19

Fedora Security Update FEDORA-2014-13791:
https://admin.fedoraproject.org/updates/FEDORA-2014-13791/konversation-1.5-6.fc20

Fedora Security Update FEDORA-2014-13837:
https://admin.fedoraproject.org/updates/FEDORA-2014-13837/konversation-1.5-6.fc21

Fedora Security Update FEDORA-EPEL-2014-3647:
https://admin.fedoraproject.org/updates/FEDORA-EPEL-2014-3647/konversation-1.3.1-2.el6

Fedora Security Update FEDORA-EPEL-2014-3664:
https://admin.fedoraproject.org/updates/FEDORA-EPEL-2014-3664/konversation-1.5-6.el7

Schwachstelle CVE-2014-8483 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-8483

Debian Security Advisory DSA-3063-1:
https://www.debian.org/security/2014/dsa-3063

KDE Project Security Advisory KDE-advisory-20141104-1:
http://kde.org/info/security/advisory-20141104-1.txt

Debian Security Advisory DSA-3068-1:
https://www.debian.org/security/2014/dsa-3068

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.