Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Historie:
Version 3 (06.01.2015):
Für die SUSE Linux Enterprise 12 Produkte Software Development Kit, Server
und Desktop stehen Sicherheitsupdates zur Verfügung, welche die
Schwachstelle CVE-2014-3710 allerdings nicht adressieren.
Version 2 (28.12.2014):
Für die Distributionen openSUSE 13.1 und openSUSE 13.2 stehen
Sicherheitsupdates zur Behebung der Schwachstellen CVE-2014-8116 und
CVE-2014-8117 zur Verfügung.
Version 1 (11.12.2014):
Neues Advisory
Betroffene Software:
File
Betroffene Plattformen:
SUSE Software Development Kit 12 Enterprise
FreeBSD < 8.4-RELEASE-p20
FreeBSD < 8.4-STABLE
FreeBSD < 9.1-RELEASE-p23
FreeBSD < 9.2-RELEASE-p16
FreeBSD < 9.3-RELEASE-p6
FreeBSD < 9.3-STABLE
FreeBSD < 10.0-RELEASE-p13
FreeBSD < 10.1-RELEASE-p1
FreeBSD < 10.1-STABLE
openSUSE 13.1
openSUSE 13.2
SUSE Linux Enterprise Desktop 12
SUSE Linux Enterprise Server 12
Durch Ausnutzen dieser Schwachstellen kann ein entfernter, nicht
authentifizierter Angreifer die Anwendung zum Absturz bringen, d.h. einen
Denial-of-Service (DoS)-Zustand herbeiführen. FreeBSD hat die Schwachstelle
für alle unterstützten FreeBSD-Branches in allen aktuellen Versionen ab dem
10. Dezember 2014 behoben.
Patch:
FreeBSD Security Advisory FreeBSD-SA-14:28.file
http://www.freebsd.org/security/advisories/FreeBSD-SA-14%3A28.file.asc
Patch:
openSUSE Security Update openSUSE-SU-2014:1720-1
http://lists.opensuse.org/opensuse-updates/2014-12/msg00104.html
Patch:
openSUSE Security Update openSUSE-SU-2014:1721-1
http://lists.opensuse.org/opensuse-updates/2014-12/msg00105.html
Patch:
SUSE Security Update SUSE-SU-2014:1730-1
https://www.suse.com/support/update/announcement/2014/suse-su-20141730-1.html
CVE-2014-8117: Schwachstelle in File erlaubt Denial-of-Service-Angriff
Eine Schwachstelle besteht im Elf-Parser, der von File verwendet wird. Ein
entfernter, nicht authentifizierter Angreifer kann diese Schwachstelle
ausnutzen, um die Anwendung abstürzen zu lassen.
CVE-2014-8116: Schwachstelle in File erlaubt Denial-of-Service-Angriff
Eine Schwachstelle besteht im Elf-Parser, der von File verwendet wird. Ein
entfernter, nicht authentifizierter Angreifer kann diese Schwachstelle
ausnutzen, um die Anwendung abstürzen zu lassen.
CVE-2014-3710: Schwachstelle in File erlaubt Denial-of-Service-Angriff
Eine Schwachstelle in Elf-Note-Headern in der Funktion donote in readelf.c
von File ermöglicht außerhalb von Speicherbegrenzungen zu lesen
(“out-of-bounds read”). Ein entfernter, nicht authentifizierter Angreifer
kann diese Schwachstelle mittels einer präparierten ELF-Datei ausnutzen, um
die Anwendung abstürzen zu lassen.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-1639/
Schwachstelle CVE-2014-3710 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3710
FreeBSD Security Advisory FreeBSD-SA-14:28.file:
http://www.freebsd.org/security/advisories/FreeBSD-SA-14%3A28.file.asc
Schwachstelle CVE-2014-8116 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-8116
Schwachstelle CVE-2014-8117 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-8117
openSUSE Security Update openSUSE-SU-2014:1720-1:
http://lists.opensuse.org/opensuse-updates/2014-12/msg00104.html
openSUSE Security Update openSUSE-SU-2014:1721-1:
http://lists.opensuse.org/opensuse-updates/2014-12/msg00105.html
SUSE Security Update SUSE-SU-2014:1730-1:
https://www.suse.com/support/update/announcement/2014/suse-su-20141730-1.html
(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.
