Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Historie:
Version 7 (13.01.2015):
Für Ubuntu 14.10, 14.04 LTS und 12.04 LTS werden Sicherheitsupdates
jeweils in Form verschiedener Pakete von libyaml, libyaml-libyaml-perl
sowie pyyaml (python-yaml) bereitgestellt.
Version 6 (08.01.2015):
Für die SUSE Linux Enterprise 12 Produkte Software Development Kit, Server
und Desktop stehen Sicherheitsupdates zur Verfügung.
Version 5 (30.12.2014):
Debian stellt für die Distributionen Wheezy und Jessie Sicherheitsupdates
für Python-YAML bereit.
Version 4 (15.12.2014):
Debian stellt für die Distributionen Wheezy und Jessie Sicherheitsupdates
zur Verfügung.
Version 3 (12.12.2014):
Für die Distributionen openSUSE 12.3, openSUSE 13.1 und openSUSE 13.2
wurden Sicherheitsupdates erstellt.
Version 2 (04.12.2014):
Für Fedora 19, 20 werden nach Paketen von libyaml 0.1.16 nun auch Pakete
von perl_yaml_libyaml 0.54 bereit gestellt.
Version 1 (03.12.2014):
Neues Advisory
Betroffene Software:
Perl-YAML-LibYAML
LibYAML
Betroffene Plattformen:
SUSE Software Development Kit 12 Enterprise
Canonical Ubuntu Linux 12.04 Lts
Canonical Ubuntu Linux 14.04 Lts
Canonical Ubuntu Linux 14.10
Debian Linux 7.7 Wheezy
Debian Linux 8.0 Jessie
openSUSE 12.3
openSUSE 13.1
openSUSE 13.2
SUSE Linux Enterprise Desktop 12
SUSE Linux Enterprise Server 12
Red Hat Fedora 19
Red Hat Fedora 20
Red Hat Fedora 21
Extra Packages for Red Hat Enterprise Linux 6
Extra Packages for Red Hat Enterprise Linux 7
Eine Schwachstelle in der libyaml ermöglicht einem entfernten, nicht
authentifizierten Angreifer einen Denial-of-Service-Angriff durchzuführen.
Für die Distributionen Fedora 19, 20, 21 und Fedoral EPEL 5, 6 werden
Sicherheitsupdates zur Verfügung gestellt.
Patch:
Fedora Security Update FEDORA-2014-16073
https://admin.fedoraproject.org/updates/FEDORA-2014-16073/libyaml-0.1.6-6.fc21
Patch:
Fedora Security Update FEDORA-2014-16130
https://admin.fedoraproject.org/updates/FEDORA-2014-16130/libyaml-0.1.6-2.fc19
Patch:
Fedora Security Update FEDORA-2014-16132
https://admin.fedoraproject.org/updates/FEDORA-2014-16132/libyaml-0.1.6-2.fc20
Patch:
Fedora Security Update FEDORA-EPEL-2014-4404
https://admin.fedoraproject.org/updates/FEDORA-EPEL-2014-4404/perl-YAML-LibYAML-0.38-5.el6
Patch:
Fedora Security Update FEDORA-EPEL-2014-4406
https://admin.fedoraproject.org/updates/FEDORA-EPEL-2014-4406/perl-YAML-LibYAML-0.54-1.el7
Patch:
Fedora Security Update FEDORA-2014-16210
https://admin.fedoraproject.org/updates/FEDORA-2014-16210/perl-YAML-LibYAML-0.54-1.fc19
Patch:
Fedora Security Update FEDORA-2014-16266
https://admin.fedoraproject.org/updates/FEDORA-2014-16266/perl-YAML-LibYAML-0.54-1.fc20
Patch:
openSUSE Security Update openSUSE-SU-2014:1625-1
http://lists.opensuse.org/opensuse-updates/2014-12/msg00047.html
Patch:
Debian Security Advisory DSA-3102-1
https://www.debian.org/security/2014/dsa-3102
Patch:
Debian Security Advisory DSA-3103-1
https://www.debian.org/security/2014/dsa-3103
Patch:
Debian Security Advisory DSA-3115-1
https://www.debian.org/security/2014/dsa-3115
Patch:
SUSE Security Update SUSE-SU-2015:0013-1
https://www.suse.com/support/update/announcement/2015/suse-su-20150013-1.html
Patch:
Ubuntu Security Update USN-2461-1 (libyaml)
http://www.ubuntu.com/usn/usn-2461-1/
Patch:
Ubuntu Security Update USN-2461-2 (libyaml-libyaml-perl)
http://www.ubuntu.com/usn/usn-2461-2/
Patch:
Ubuntu Security Update USN-2461-3 (python-yaml)
http://www.ubuntu.com/usn/usn-2461-3/
CVE-2014-9130: Schwachstelle in libyaml ermöglicht Denial-of-Service-Angriff
Eine Schwachstelle in libyaml führt dazu, dass es beim Parsen einer
umgebrochenen Zeichenkette zu einem Zusicherungs-Fehler (assertion error)
kommt. Durch eine manipulierte YAML-Datei kann ein Anwendungsabsturz
herbeigeführt werden. Ein entfernter, nicht authentifizierter Angreifer kann
einen Denial-of-Service-Angriff durchführen.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-1579/
Fedora Security Update FEDORA-2014-16073:
https://admin.fedoraproject.org/updates/FEDORA-2014-16073/libyaml-0.1.6-6.fc21
Schwachstelle CVE-2014-9130 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-9130
Fedora Security Update FEDORA-2014-16130:
https://admin.fedoraproject.org/updates/FEDORA-2014-16130/libyaml-0.1.6-2.fc19
Fedora Security Update FEDORA-2014-16132:
https://admin.fedoraproject.org/updates/FEDORA-2014-16132/libyaml-0.1.6-2.fc20
Fedora Security Update FEDORA-EPEL-2014-4404:
https://admin.fedoraproject.org/updates/FEDORA-EPEL-2014-4404/perl-YAML-LibYAML-0.38-5.el6
Fedora Security Update FEDORA-EPEL-2014-4406:
https://admin.fedoraproject.org/updates/FEDORA-EPEL-2014-4406/perl-YAML-LibYAML-0.54-1.el7
Fedora Security Update FEDORA-2014-16210:
https://admin.fedoraproject.org/updates/FEDORA-2014-16210/perl-YAML-LibYAML-0.54-1.fc19
Fedora Security Update FEDORA-2014-16266:
https://admin.fedoraproject.org/updates/FEDORA-2014-16266/perl-YAML-LibYAML-0.54-1.fc20
openSUSE Security Update openSUSE-SU-2014:1625-1:
http://lists.opensuse.org/opensuse-updates/2014-12/msg00047.html
Debian Security Advisory DSA-3102-1:
https://www.debian.org/security/2014/dsa-3102
Debian Security Advisory DSA-3103-1:
https://www.debian.org/security/2014/dsa-3103
Debian Security Advisory DSA-3115-1:
https://www.debian.org/security/2014/dsa-3115
SUSE Security Update SUSE-SU-2015:0013-1:
https://www.suse.com/support/update/announcement/2015/suse-su-20150013-1.html
Ubuntu Security Update USN-2461-1 (libyaml):
http://www.ubuntu.com/usn/usn-2461-1/
Ubuntu Security Update USN-2461-2 (libyaml-libyaml-perl):
http://www.ubuntu.com/usn/usn-2461-2/
Ubuntu Security Update USN-2461-3 (python-yaml):
http://www.ubuntu.com/usn/usn-2461-3/
(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.
