Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Historie:
Version 4 (26.01.2015):
Für die Distributionen openSUSE 13.1 und openSUSE 13.2 stehen
Sicherheitsupdates zur Verfügung.
Version 3 (20.01.2015):
Für die Ubuntu Distributionen 14.10, 14.04 LTS, 12.04 LTS und 10.04 LTS
stehen Sicherheitsupdates zur Verfügung.
Version 2 (14.01.2015):
Neues Advisory
Version 1 (06.01.2015):
Neues Advisory
Betroffene Software:
SUSE Software Development Kit 11 SP3 Enterprise
Canonical Ubuntu Linux 10.04 Lts
Canonical Ubuntu Linux 12.04 Lts
Canonical Ubuntu Linux 14.04 Lts
Canonical Ubuntu Linux 14.10
Debian Linux 7.7 Wheezy
SUSE Linux Enterprise Desktop 11 SP3
SUSE Linux Enterprise Server 11 SP3
SUSE Linux Enterprise Server 11 SP3 VMware
OpenBSD 5.5
OpenBSD 5.6
Betroffene Plattformen:
SUSE Software Development Kit enterprise
Canonical Ubuntu Linux
Debian Linux
openSUSE 13.1
openSUSE 13.2
SUSE Linux Enterprise Desktop
SUSE Linux Enterprise Server
OpenBSD
Ein entfernter, nicht authentisierter Angreifer kann über diese schwer
auszunutzende Schwachstelle, die Vertraulichkeit, Integrität und
Verfügbarkeit teilweise beeinträchtigen.
Patch:
OpenBSD Security Advisory OpenBSD 5.5
http://www.openbsd.org/errata55.html
Patch:
OpenBSD Security Advisory OpenBSD 5.6
http://www.openbsd.org/errata56.html
Patch:
SUSE Security Update SUSE-SU-2014:1283-1
https://www.suse.com/support/update/announcement/2014/suse-su-20141283-1.html
Patch:
Debian Security Advisory DSA-3119-1
https://www.debian.org/security/2015/dsa-3119
Patch:
Quellcode Patch OpenBSD 5.5
http://ftp.openbsd.org/pub/OpenBSD/patches/5.5/common/020_libevent.patch.sig
Patch:
Quellcode Patch OpenBSD 5.6
http://ftp.openbsd.org/pub/OpenBSD/patches/5.6/common/015_libevent.patch.sig
Patch:
Ubuntu Security Notice USN-2477-1
http://www.ubuntu.com/usn/usn-2477-1/
Patch:
openSUSE Security Update openSUSE-SU-2015:0132-1
http://lists.opensuse.org/opensuse-updates/2015-01/msg00070.html
CVE-2014-6272: Pufferüberlauf in Bibliothek libevent
In der Bibliothek libevent, welche asynchron Informationen über Ereignisse
liefert, besteht eine Schwachstelle im ‘evbuffer’. libevent behandelt
Ereignisse im Pufferspeicher (‘buffered event handling’) in unsicherer Weise
und es kann ein Überlauf des Pufferspeichers (Buffer Overflow) ausgelöst
werden.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-0011/
OpenBSD Security Advisory OpenBSD 5.5:
http://www.openbsd.org/errata55.html
OpenBSD Security Advisory OpenBSD 5.6:
http://www.openbsd.org/errata56.html
SUSE Security Update SUSE-SU-2014:1283-1:
https://www.suse.com/support/update/announcement/2014/suse-su-20141283-1.html
Schwachstelle CVE-2014-6272 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-6272
Debian Security Advisory DSA-3119-1:
https://www.debian.org/security/2015/dsa-3119
Quellcode Patch OpenBSD 5.5:
http://ftp.openbsd.org/pub/OpenBSD/patches/5.5/common/020_libevent.patch.sig
Quellcode Patch OpenBSD 5.6:
http://ftp.openbsd.org/pub/OpenBSD/patches/5.6/common/015_libevent.patch.sig
Ubuntu Security Notice USN-2477-1:
http://www.ubuntu.com/usn/usn-2477-1/
openSUSE Security Update openSUSE-SU-2015:0132-1:
http://lists.opensuse.org/opensuse-updates/2015-01/msg00070.html
(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.
