Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Historie:
Version 7 (17.03.2015):
Für SUSE Linux Enterprise 11 SP3 stehen für Software Development Kit,
Server, Server für VMware und Desktop Sicherheitsupdates zur Verfügung.
Version 6 (17.03.2015):
Für SUSE Linux Enterprise Software Development Kit 12, Server 12 und
Desktop 12 stehen erneut Sicherheitsupdates bereit, da das erste Update
nicht ausreichend für die Problembehebung war.
Version 5 (09.03.2015):
Für openSUSE 13.1 und openSUSE 13.2 stehen erneut Sicherheitsupdates
bereit, da das erste Update nicht ausreichend war.
Version 4 (09.03.2015):
Für Fedora EPEL 6 und EPEL 7 stehen Sicherheitsupdates im Status ‘testing’
bereit.
Version 3 (05.03.2015):
Für die Distributionen Fedora 20, Fedora 21 und Fedora 22 stehen
Sicherheitsupdates bereit.
Version 2 (24.02.2015):
Für die Distributionen SUSE Linux Enterprise Software Development Kit 12,
SUSE Linux Enterprise Server 12 und SUSE Linux Enterprise Desktop 12
stehen Sicherheitsupdates bereit.
Version 1 (03.02.2015):
Neues Advisory
Betroffene Software:
libmspack <= 0.4 Betroffene Plattformen: SUSE Software Development Kit 11 SP3 Enterprise SUSE Software Development Kit 12 Enterprise openSUSE 13.1 openSUSE 13.2 SUSE Linux Enterprise Desktop 11 SP3 SUSE Linux Enterprise Desktop 12 SUSE Linux Enterprise Server 11 SP3 SUSE Linux Enterprise Server 11 SP3 VMware SUSE Linux Enterprise Server 12 Red Hat Fedora 20 Red Hat Fedora 21 Red Hat Fedora 22 Extra Packages for Red Hat Enterprise Linux 6 Extra Packages for Red Hat Enterprise Linux 7 Eine Schwachstelle in der Bibliothek libmspack ermöglicht einem entfernten, nicht authentifizierten Angreifer einen Denial-of-Service-Angriff durchzuführen. Patch: openSUSE Security Update openSUSE-SU-2015:0187-1 http://lists.opensuse.org/opensuse-updates/2015-02/msg00004.html
Patch:
SUSE Security Update SUSE-SU-2015:0366-1
https://www.suse.com/support/update/announcement/2015/suse-su-20150366-1.html
Patch:
Fedora Security Update FEDORA-2015-3118
https://admin.fedoraproject.org/updates/FEDORA-2015-3118/libmspack-0.5-0.1.alpha.fc22
Patch:
Fedora Security Update FEDORA-2015-3205
https://admin.fedoraproject.org/updates/FEDORA-2015-3205/libmspack-0.5-0.1.alpha.fc20
Patch:
Fedora Security Update FEDORA-2015-3249
https://admin.fedoraproject.org/updates/FEDORA-2015-3249/libmspack-0.5-0.1.alpha.fc21
Patch:
Fedora Security Update FEDORA-EPEL-2015-1077
https://admin.fedoraproject.org/updates/FEDORA-EPEL-2015-1077/libmspack-0.5-0.1.alpha.el7
Patch:
Fedora Security Update FEDORA-EPEL-2015-1177
https://admin.fedoraproject.org/updates/FEDORA-EPEL-2015-1177/libmspack-0.5-0.1.alpha.el6
Patch:
openSUSE Security Update openSUSE-SU-2015:0449-1
http://lists.opensuse.org/opensuse-updates/2015-03/msg00021.html
Patch:
SUSE Security Update SUSE-SU-2015:0506-1
https://www.suse.com/support/update/announcement/2015/suse-su-20150506-1.html
Patch:
SUSE Security Update SUSE-SU-2015:0508-1
https://www.suse.com/support/update/announcement/2015/suse-su-20150508-1.html
CVE-2014-9556: Schwachstelle in libmspack ermöglicht
Denial-of-Service-Angriff
Eine Schwachstelle in der Funktion qtmd_decompress() innerhalb der
Bibliothek libmspack führt, durch einen Speicherüberlauf, zu einer
Endlos-Schleife bei der Verarbeitung von präparierten CAB-Dateien.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-0134/
openSUSE Security Update openSUSE-SU-2015:0187-1:
http://lists.opensuse.org/opensuse-updates/2015-02/msg00004.html
Schwachstelle CVE-2014-9556 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-9556
SUSE Security Update SUSE-SU-2015:0366-1:
https://www.suse.com/support/update/announcement/2015/suse-su-20150366-1.html
Fedora Security Update FEDORA-2015-3118:
https://admin.fedoraproject.org/updates/FEDORA-2015-3118/libmspack-0.5-0.1.alpha.fc22
Fedora Security Update FEDORA-2015-3205:
https://admin.fedoraproject.org/updates/FEDORA-2015-3205/libmspack-0.5-0.1.alpha.fc20
Fedora Security Update FEDORA-2015-3249:
https://admin.fedoraproject.org/updates/FEDORA-2015-3249/libmspack-0.5-0.1.alpha.fc21
Fedora Security Update FEDORA-EPEL-2015-1077:
https://admin.fedoraproject.org/updates/FEDORA-EPEL-2015-1077/libmspack-0.5-0.1.alpha.el7
Fedora Security Update FEDORA-EPEL-2015-1177:
https://admin.fedoraproject.org/updates/FEDORA-EPEL-2015-1177/libmspack-0.5-0.1.alpha.el6
openSUSE Security Update openSUSE-SU-2015:0449-1:
http://lists.opensuse.org/opensuse-updates/2015-03/msg00021.html
SUSE Security Update SUSE-SU-2015:0506-1:
https://www.suse.com/support/update/announcement/2015/suse-su-20150506-1.html
SUSE Security Update SUSE-SU-2015:0508-1:
https://www.suse.com/support/update/announcement/2015/suse-su-20150508-1.html
(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.
