DFN-CERT-2014-1669 Apache Subversion: Zwei Schwachstellen ermöglichen Denial-of-Service Angriffe [Netzwerk]

DFN-CERT-2014-1669 Apache Subversion: Zwei Schwachstellen ermöglichen Denial-of-Service Angriffe [Netzwerk]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Apache Subversion <= 1.7.18 Apache Subversion <= 1.8.10 Betroffene Plattformen: Apache Subversion Ein entfernter, nicht authentifizierter Angreifer kann diese Schwachstellen für Denial-of-Service Angriffe ausnutzen. Patch: Subversion Security Update SVN-ADV-CVE-2014-3580-advisory https://subversion.apache.org/security/CVE-2014-3580-advisory.txt

Patch:

Subversion Security Update SVN-ADV-CVE-2014-8108-advisory

https://subversion.apache.org/security/CVE-2014-8108-advisory.txt

CVE-2014-8108: Schwachstelle in Subversion ermöglicht
Denial-of-Service-Angriff

Ein Fehler bei der Verwendung der Zuordnung eines virtuellen
Transaktionsnamens zu einer internen Transaktions-ID führt dazu, dass nicht
ausreichend geprüft wird, ob die ID nicht NULL ist. Die weitere Verwendung
einer Transaktions-ID mit dem Wert NULL führt zu einem Anwendungsabsturz.
Ein entfernter, nicht authentifizierter Angreifer kann, durch die Verwendung
eines nicht existierenden virtuellen Transaktionsnamen, einen
Denial-of-Service-Angriff durchführen.

CVE-2014-3580: Denial-of-Service Schwachstelle in Apache Subversion

Durch einen Programmierfehler im Modul mod_dav_svn von Apache Subversion
werden “REPORT” Requests nicht korrekt verarbeitet. Der Programmierfehler
ermöglicht das Dereferenzieren eines Nullzeigers, wodurch ein
Denial-of-Service Zustand ausgelöst werden kann. Ein entfernter, nicht
authentifizierter Angreifer kann dies mit Hilfe von präparierten “REPORT”
Requests ausnutzen und so mod_dav_svn zum Absturz bringen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-1669/

Subversion Security Update SVN-ADV-CVE-2014-3580-advisory:
https://subversion.apache.org/security/CVE-2014-3580-advisory.txt

Subversion Security Update SVN-ADV-CVE-2014-8108-advisory:
https://subversion.apache.org/security/CVE-2014-8108-advisory.txt

Schwachstelle CVE-2014-3580 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3580

Schwachstelle CVE-2014-8108 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-8108

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben