Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 5 (05.02.2015):
Für die Distributionen Ubuntu 10.04 LTS, Ubuntu 12.04 LTS, Ubuntu 14.04
LTS und Ubuntu 14.10 stehen Sicherheitsupdates bereit.
Version 4 (09.01.2015):
Für die Distribution Debian Wheezy steht ein Sicherheitsupdate bereit,
welches die Schwachstelle CVE-2014-3710 ebenfalls nicht adressiert.
Version 3 (06.01.2015):
Für die SUSE Linux Enterprise 12 Produkte Software Development Kit, Server
und Desktop stehen Sicherheitsupdates zur Verfügung, welche die
Schwachstelle CVE-2014-3710 allerdings nicht adressieren.
Version 2 (28.12.2014):
Für die Distributionen openSUSE 13.1 und openSUSE 13.2 stehen
Sicherheitsupdates zur Behebung der Schwachstellen CVE-2014-8116 und
CVE-2014-8117 zur Verfügung.
Version 1 (11.12.2014):
Neues Advisory

Betroffene Software:

File

Betroffene Plattformen:

SUSE Software Development Kit 12 Enterprise
Canonical Ubuntu Linux 10.04 Lts
Canonical Ubuntu Linux 12.04 Lts
Canonical Ubuntu Linux 14.04 Lts
Canonical Ubuntu Linux 14.10
Debian Linux 7.7 Wheezy
FreeBSD < 8.4-RELEASE-p20 FreeBSD < 8.4-STABLE FreeBSD < 9.1-RELEASE-p23 FreeBSD < 9.2-RELEASE-p16 FreeBSD < 9.3-RELEASE-p6 FreeBSD < 9.3-STABLE FreeBSD < 10.0-RELEASE-p13 FreeBSD < 10.1-RELEASE-p1 FreeBSD < 10.1-STABLE openSUSE 13.1 openSUSE 13.2 SUSE Linux Enterprise Desktop 12 SUSE Linux Enterprise Server 12 Durch Ausnutzen dieser Schwachstellen kann ein entfernter, nicht authentifizierter Angreifer die Anwendung zum Absturz bringen, d.h. einen Denial-of-Service (DoS)-Zustand herbeiführen. FreeBSD hat die Schwachstelle für alle unterstützten FreeBSD-Branches in allen aktuellen Versionen ab dem 10. Dezember 2014 behoben. Patch: FreeBSD Security Advisory FreeBSD-SA-14:28.file http://www.freebsd.org/security/advisories/FreeBSD-SA-14%3A28.file.asc

Patch:

openSUSE Security Update openSUSE-SU-2014:1720-1

http://lists.opensuse.org/opensuse-updates/2014-12/msg00104.html

Patch:

openSUSE Security Update openSUSE-SU-2014:1721-1

http://lists.opensuse.org/opensuse-updates/2014-12/msg00105.html

Patch:

SUSE Security Update SUSE-SU-2014:1730-1

https://www.suse.com/support/update/announcement/2014/suse-su-20141730-1.html

Patch:

Debian Security Advisory DSA-3121-1

https://www.debian.org/security/2015/dsa-3121

Patch:

Ubuntu Security Notice USN-2494-1

http://www.ubuntu.com/usn/usn-2494-1/

CVE-2014-8117: Schwachstelle in File erlaubt Denial-of-Service-Angriff

Eine Schwachstelle besteht im Elf-Parser, der von File verwendet wird. Ein
entfernter, nicht authentifizierter Angreifer kann diese Schwachstelle
ausnutzen, um die Anwendung abstürzen zu lassen.

CVE-2014-8116: Schwachstelle in File erlaubt Denial-of-Service-Angriff

Eine Schwachstelle besteht im Elf-Parser, der von File verwendet wird. Ein
entfernter, nicht authentifizierter Angreifer kann diese Schwachstelle
ausnutzen, um die Anwendung abstürzen zu lassen.

CVE-2014-3710: Schwachstelle in File erlaubt Denial-of-Service-Angriff

Eine Schwachstelle in Elf-Note-Headern in der Funktion donote in readelf.c
von File ermöglicht außerhalb von Speicherbegrenzungen zu lesen
(“out-of-bounds read”). Ein entfernter, nicht authentifizierter Angreifer
kann diese Schwachstelle mittels einer präparierten ELF-Datei ausnutzen, um
die Anwendung abstürzen zu lassen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-1639/

Schwachstelle CVE-2014-3710 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3710

FreeBSD Security Advisory FreeBSD-SA-14:28.file:
http://www.freebsd.org/security/advisories/FreeBSD-SA-14%3A28.file.asc

Schwachstelle CVE-2014-8116 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-8116

Schwachstelle CVE-2014-8117 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-8117

openSUSE Security Update openSUSE-SU-2014:1720-1:
http://lists.opensuse.org/opensuse-updates/2014-12/msg00104.html

openSUSE Security Update openSUSE-SU-2014:1721-1:
http://lists.opensuse.org/opensuse-updates/2014-12/msg00105.html

SUSE Security Update SUSE-SU-2014:1730-1:
https://www.suse.com/support/update/announcement/2014/suse-su-20141730-1.html

Debian Security Advisory DSA-3121-1:
https://www.debian.org/security/2015/dsa-3121

Ubuntu Security Notice USN-2494-1:
http://www.ubuntu.com/usn/usn-2494-1/

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 4 (09.01.2015):
Für die Distribution Debian Wheezy steht ein Sicherheitsupdate bereit,
welches die Schwachstelle CVE-2014-3710 ebenfalls nicht adressiert.
Version 3 (06.01.2015):
Für die SUSE Linux Enterprise 12 Produkte Software Development Kit, Server
und Desktop stehen Sicherheitsupdates zur Verfügung, welche die
Schwachstelle CVE-2014-3710 allerdings nicht adressieren.
Version 2 (28.12.2014):
Für die Distributionen openSUSE 13.1 und openSUSE 13.2 stehen
Sicherheitsupdates zur Behebung der Schwachstellen CVE-2014-8116 und
CVE-2014-8117 zur Verfügung.
Version 1 (11.12.2014):
Neues Advisory

Betroffene Software:

File

Betroffene Plattformen:

SUSE Software Development Kit 12 Enterprise
Debian Linux 7.7 Wheezy
FreeBSD < 8.4-RELEASE-p20 FreeBSD < 8.4-STABLE FreeBSD < 9.1-RELEASE-p23 FreeBSD < 9.2-RELEASE-p16 FreeBSD < 9.3-RELEASE-p6 FreeBSD < 9.3-STABLE FreeBSD < 10.0-RELEASE-p13 FreeBSD < 10.1-RELEASE-p1 FreeBSD < 10.1-STABLE openSUSE 13.1 openSUSE 13.2 SUSE Linux Enterprise Desktop 12 SUSE Linux Enterprise Server 12 Durch Ausnutzen dieser Schwachstellen kann ein entfernter, nicht authentifizierter Angreifer die Anwendung zum Absturz bringen, d.h. einen Denial-of-Service (DoS)-Zustand herbeiführen. FreeBSD hat die Schwachstelle für alle unterstützten FreeBSD-Branches in allen aktuellen Versionen ab dem 10. Dezember 2014 behoben. Patch: FreeBSD Security Advisory FreeBSD-SA-14:28.file http://www.freebsd.org/security/advisories/FreeBSD-SA-14%3A28.file.asc

Patch:

openSUSE Security Update openSUSE-SU-2014:1720-1

http://lists.opensuse.org/opensuse-updates/2014-12/msg00104.html

Patch:

openSUSE Security Update openSUSE-SU-2014:1721-1

http://lists.opensuse.org/opensuse-updates/2014-12/msg00105.html

Patch:

SUSE Security Update SUSE-SU-2014:1730-1

https://www.suse.com/support/update/announcement/2014/suse-su-20141730-1.html

Patch:

Debian Security Advisory DSA-3121-1

https://www.debian.org/security/2015/dsa-3121

CVE-2014-8117: Schwachstelle in File erlaubt Denial-of-Service-Angriff

Eine Schwachstelle besteht im Elf-Parser, der von File verwendet wird. Ein
entfernter, nicht authentifizierter Angreifer kann diese Schwachstelle
ausnutzen, um die Anwendung abstürzen zu lassen.

CVE-2014-8116: Schwachstelle in File erlaubt Denial-of-Service-Angriff

Eine Schwachstelle besteht im Elf-Parser, der von File verwendet wird. Ein
entfernter, nicht authentifizierter Angreifer kann diese Schwachstelle
ausnutzen, um die Anwendung abstürzen zu lassen.

CVE-2014-3710: Schwachstelle in File erlaubt Denial-of-Service-Angriff

Eine Schwachstelle in Elf-Note-Headern in der Funktion donote in readelf.c
von File ermöglicht außerhalb von Speicherbegrenzungen zu lesen
(“out-of-bounds read”). Ein entfernter, nicht authentifizierter Angreifer
kann diese Schwachstelle mittels einer präparierten ELF-Datei ausnutzen, um
die Anwendung abstürzen zu lassen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-1639/

Schwachstelle CVE-2014-3710 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3710

FreeBSD Security Advisory FreeBSD-SA-14:28.file:
http://www.freebsd.org/security/advisories/FreeBSD-SA-14%3A28.file.asc

Schwachstelle CVE-2014-8116 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-8116

Schwachstelle CVE-2014-8117 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-8117

openSUSE Security Update openSUSE-SU-2014:1720-1:
http://lists.opensuse.org/opensuse-updates/2014-12/msg00104.html

openSUSE Security Update openSUSE-SU-2014:1721-1:
http://lists.opensuse.org/opensuse-updates/2014-12/msg00105.html

SUSE Security Update SUSE-SU-2014:1730-1:
https://www.suse.com/support/update/announcement/2014/suse-su-20141730-1.html

Debian Security Advisory DSA-3121-1:
https://www.debian.org/security/2015/dsa-3121

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.