UPDATE: DFN-CERT-2014-1642 Unbound: Eine Schwachstelle ermöglicht einen Denial-of-Service-Angriff [Linux][Debian][Fedora][Unix][FreeBSD][OpenBSD]

UPDATE: DFN-CERT-2014-1642 Unbound: Eine Schwachstelle ermöglicht einen Denial-of-Service-Angriff [Linux][Debian][Fedora][Unix][FreeBSD][OpenBSD]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 3 (17.12.2014):
FreeBSD teil mit, dass auch FreeBSD 10.0-RELEASE und später betroffen
sind. Diese Schwachstelle wird behoben für die FreeBSD-Branches stable/10
durch 10.1-STABLE, für releng/10.1 durch 10.1-RELEASE-p2 sowie releng/10.0
durch 10.0-RELEASE-p14.
Version 2 (12.12.2014):
Für Fedora 20 und Fedora 21 stehen Sicherheitsupdates zur Verfügung.
Version 1 (11.12.2014):
Neues Advisory

Betroffene Software:

Unbound

Betroffene Plattformen:

Debian Linux 7.7 Wheezy
Debian Linux 8.0 Jessie
FreeBSD 10
FreeBSD 10.0
FreeBSD < 10.0-RELEASE-p14 FreeBSD 10.1 FreeBSD < 10.1-RELEASE-p2 FreeBSD < 10.1-STABLE OpenBSD 5.6 Red Hat Fedora 20 Red Hat Fedora 21 Durch Ausnutzen dieser Schwachstelle kann ein entfernter, nicht authentifizierter Angreifer einen Denial-of-Service (DoS)-Angriff durchführen. Für Debian Wheezy und Debian Jessie wurden aktualisierte Pakete von Unbound 1.4.17, bzw. 1.4.22 bereitgestellt. Für OpenBSD 5.6 wurde ein Source-Code-Patch zur Verfügung gestellt. Patch: OpenBSD Security Advisory http://www.openbsd.org/errata56.html

Patch:

Debian Security Advisory DSA-3097-1

https://www.debian.org/security/2014/dsa-3097

Patch:

Fedora Security Update FEDORA-2014-16647

https://admin.fedoraproject.org/updates/FEDORA-2014-16647/unbound-1.5.1-2.fc21

Patch:

Fedora Security Update FEDORA-2014-16671

https://admin.fedoraproject.org/updates/FEDORA-2014-16671/unbound-1.5.1-2.fc20

Patch:

FreeBSD Security Advisory FreeBSD-SA-14:30.unbound

http://www.freebsd.org/security/advisories/FreeBSD-SA-14%3A30.unbound.asc

CVE-2014-8602: Schwachstelle in Unbound erlaubt Denial-of-Service

Eine Schwachstelle in iterator.c in NLnet Labs Unbound bevor 1.5.1 besteht
darin, dass Delegationsketten nicht limitiert werden. Ein entfernter, nicht
authentifizierter Angreifer kann die Schwachstelle ausnutzen, durch eine
große oder unendliche Anzahl von “Referrals”, um einen Denial-of-Service
(DoS)-Zustand (Speicher- und CPU-Verbrauch) herbeizuführen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-1642/

OpenBSD Security Advisory:
http://www.openbsd.org/errata56.html

Debian Security Advisory DSA-3097-1:
https://www.debian.org/security/2014/dsa-3097

Schwachstelle CVE-2014-8602 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-8602

Fedora Security Update FEDORA-2014-16647:
https://admin.fedoraproject.org/updates/FEDORA-2014-16647/unbound-1.5.1-2.fc21

Fedora Security Update FEDORA-2014-16671:
https://admin.fedoraproject.org/updates/FEDORA-2014-16671/unbound-1.5.1-2.fc20

FreeBSD Security Advisory FreeBSD-SA-14:30.unbound:
http://www.freebsd.org/security/advisories/FreeBSD-SA-14%3A30.unbound.asc

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben