Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 2 (11.11.2014):
Für Ubuntu 14.10 steht ein Sicherheitsupdate zur Verfügung.
Version 1 (10.11.2014):
Neues Advisory

Betroffene Software:

GNU GnuTLS

Betroffene Plattformen:

Canonical Ubuntu Linux 14.10
GNU/Linux

Eine Schwachstelle in GnuTLS ermöglicht einem entfernten, nicht
authentifizierten Angreifer, einen Denial-of-Service-Zustand herbeizuführen.

Patch:

GnuTLS Team Hersteller Advisory GNUTLS-SA-2014-5

http://www.gnutls.org/security.html

Patch:

Ubuntu Security Notice USN-2403-1

http://www.ubuntu.com/usn/usn-2403-1/

CVE-2014-8564: Schwachstelle in GnuTLS ermöglicht Denial-of-Service-Angriff

Eine Schwachstelle in der Kodierung von Parametern von Elliptischen Kurven
kann zu einer Korruption des Heap-Speichers bei Clients und Servern führen,
wenn Informationen über das Zertifikat der Gegenstelle ausgegeben werden.
Ein entfernter, nicht authentifizierter Angreifer kann diese Schwachstelle
ausnutzen, um über speziell präparierte X.509-Zertifikate einen
Denial-of-Service-Zustand herbeizuführen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-1462/

GnuTLS Team Hersteller Advisory GNUTLS-SA-2014-5:
http://www.gnutls.org/security.html

Schwachstelle CVE-2014-8564 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-8564

Ubuntu Security Notice USN-2403-1:
http://www.ubuntu.com/usn/usn-2403-1/

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.