Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

GnuPG Libksba < 1.3.2 Betroffene Plattformen: Red Hat Fedora 19 Red Hat Fedora 20 Eine Schwachstelle in der Bibliothek Libksba ermöglicht einem entfernten, nicht authentifizierten Angreifer einen Denial-of-Service-Angriff durchzuführen oder beliebigen Programmcode auszuführen. Patch: Fedora Security Update FEDORA-2014-15838 https://admin.fedoraproject.org/updates/FEDORA-2014-15838/libksba-1.3.2-1.fc19

Patch:

Fedora Security Update FEDORA-2014-15847

https://admin.fedoraproject.org/updates/FEDORA-2014-15847/libksba-1.3.2-1.fc20

CVE-2014-9087: Heap-Überlauf-Schwachstelle in Libksba ermöglicht die
Ausführung von beliebigem Programmcode

Eine Integer Bereichsunterschreitung führt zu einem Heap-basierten
Pufferüberlauf in der Funktion ksba_oid_to_str() der Bibliothek Libksba.
Präparierte S/MIME Nachrichten oder auf ECC basierende OpenPGP Daten
verursachen einen Absturz des Programms, welches die Bibliothek benutzt,
oder die Ausführung von beliebigem Programmcode. Die Bibliothek wird in
verschiedenen GnuPG Werkzeugen verwendet.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-1554/

Fedora Security Update FEDORA-2014-15838:
https://admin.fedoraproject.org/updates/FEDORA-2014-15838/libksba-1.3.2-1.fc19

Fedora Security Update FEDORA-2014-15847:
https://admin.fedoraproject.org/updates/FEDORA-2014-15847/libksba-1.3.2-1.fc20

Schwachstelle CVE-2014-9087 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-9087

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.