DFN-CERT-2015-0217 Bibliothek perl-YAML-LibYAML: Mehrere Schwachstellen ermöglichen das Ausführen beliebigen Programmcodes [Linux][SuSE]

DFN-CERT-2015-0217 Bibliothek perl-YAML-LibYAML: Mehrere Schwachstellen ermöglichen das Ausführen beliebigen Programmcodes [Linux][SuSE]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Perl-YAML-LibYAML < 0.59 Betroffene Plattformen: openSUSE 13.1 openSUSE 13.2 Mehrere Schwachstellen in der Bibliothek perl-YAML-LibYAML ermöglichen einem entfernten, nicht authentisierten Angreifer das Ausführen beliebigen Programmcodes oder das Bewirken eines Denial-of-Service-Zustandes. Für die Distributionen openSUSE 13.1 und openSUSE 13.2 werden die Schwachstellen durch ein Update auf die perl-YAML-LibYAML Version 0.59 behoben. Patch: openSUSE Security Update openSUSE-SU-2015:0319-1 http://lists.opensuse.org/opensuse-updates/2015-02/msg00078.html

CVE-2014-9130: Schwachstelle in libyaml ermöglicht Denial-of-Service-Angriff

Eine Schwachstelle in libyaml führt dazu, dass es beim Parsen einer
umgebrochenen Zeichenkette zu einem Zusicherungs-Fehler (assertion error)
kommt. Durch eine manipulierte YAML-Datei kann ein Anwendungsabsturz
herbeigeführt werden. Ein entfernter, nicht authentifizierter Angreifer kann
einen Denial-of-Service-Angriff durchführen.

CVE-2014-2525: Pufferüberlauf Schwachstelle in der Bibliothek libyaml

In der Bibliothek libyaml und libyaml-libyaml-perl kann es beim Parsen von
YAML-Tags zu einem Pufferüberlauf auf dem Heap kommen. Dies ermöglicht einem
entfernten, nicht authentifizierten Angreifer durch das Bereitstellen eines
präparierten YAML-Dokumentes Anwendungen, welche die Bibliothek verwenden,
zum Absturz zu bringen oder beliebige Befehle mit den Rechten der Anwendung
zur Ausführung zu bringen. Voraussetzung dafür ist, dass das YAML-Dokument
von einer betroffenen libyaml-Bibliothek verarbeitet wird.

CVE-2013-6393: Pufferüberlauf Schwachstelle in der Bibliothek libyaml

In der Bibliothek libyaml und libyaml-libyaml-perl kann es beim Parsen von
YAML-Tags zu einem Pufferüberlauf auf dem Heap kommen. Dies ermöglicht einem
entfernten, nicht authentifizierten Angreifer durch das Bereitstellen eines
präparierten YAML-Dokumentes die Anwendung, welche die Bibliothek verwendet,
zum Absturz zu bringen oder beliebige Befehle mit den Rechten der Anwendung
zur Ausführung zu bringen. Voraussetzung dafür ist, dass das YAML-Dokument
von einer betroffenen libyaml Bibliothek verarbeitet wird.

CVE-2012-1152: DoS-Schwachstelle in YAML Bibliothek

Die Verarbeitung von Fehlermeldungen in der YAML Bibliothek in Perl enthält
einige “Format String”-Schwachstellen. Betroffen sind die Verarbeitung von
Fehlermeldungen, welche beim Laden von allgemeinen YAML-Streams, von
YAML-Knoten, von Zuordnungen von YAML nach Perl-Hashes oder von Zuordnungen
von YAML-Sequenzen zu Perl-Arrays erzeugt werden. Diese ermöglichen einem
entfernten, nicht authentisierten Angreifer durch das Bereitstellen eines
präparierten YAML-Dokuments einen Absturz des Prozesses, welcher die
Bibliothek aufgerufen hat, zu provozieren (Denial-of-Service).

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-0217/

Schwachstelle CVE-2013-6393 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-6393

Schwachstelle CVE-2014-2525 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-2525

Schwachstelle CVE-2014-9130 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-9130

openSUSE Security Update openSUSE-SU-2015:0319-1:
http://lists.opensuse.org/opensuse-updates/2015-02/msg00078.html

Schwachstelle CVE-2012-1152 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2012-1152

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben