Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 5 (20.03.2015):
NetBSD informiert darüber, welche der unterstützten Versionen von dieser
Schwachstelle betroffen sind. Es stehen Sicherheitsupdates zur Verfügung.
Version 4 (26.01.2015):
Für die Distributionen openSUSE 13.1 und openSUSE 13.2 stehen
Sicherheitsupdates zur Verfügung.
Version 3 (20.01.2015):
Für die Ubuntu Distributionen 14.10, 14.04 LTS, 12.04 LTS und 10.04 LTS
stehen Sicherheitsupdates zur Verfügung.
Version 2 (14.01.2015):
Neues Advisory
Version 1 (06.01.2015):
Neues Advisory

Betroffene Software:

libevent

Betroffene Plattformen:

SUSE Software Development Kit 11 SP3 Enterprise
Canonical Ubuntu Linux 10.04 Lts
Canonical Ubuntu Linux 12.04 Lts
Canonical Ubuntu Linux 14.04 Lts
Canonical Ubuntu Linux 14.10
Debian Linux 7.7 Wheezy
NetBSD >= 5.1
NetBSD <= 5.1.4 NetBSD >= 5.2
NetBSD <= 5.2.2 NetBSD >= 6.0
NetBSD <= 6.0.6 NetBSD >= 6.1
NetBSD <= 6.1.5 openSUSE 13.1 openSUSE 13.2 SUSE Linux Enterprise Desktop 11 SP3 SUSE Linux Enterprise Server 11 SP3 SUSE Linux Enterprise Server 11 SP3 VMware OpenBSD 5.5 OpenBSD 5.6 Ein entfernter, nicht authentisierter Angreifer kann über diese schwer auszunutzende Schwachstelle die Vertraulichkeit, Integrität und Verfügbarkeit teilweise beeinträchtigen. Patch: OpenBSD Security Advisory OpenBSD 5.5 http://www.openbsd.org/errata55.html

Patch:

OpenBSD Security Advisory OpenBSD 5.6

http://www.openbsd.org/errata56.html

Patch:

SUSE Security Update SUSE-SU-2014:1283-1

https://www.suse.com/support/update/announcement/2014/suse-su-20141283-1.html

Patch:

Debian Security Advisory DSA-3119-1

https://www.debian.org/security/2015/dsa-3119

Patch:

Quellcode Patch OpenBSD 5.5

http://ftp.openbsd.org/pub/OpenBSD/patches/5.5/common/020_libevent.patch.sig

Patch:

Quellcode Patch OpenBSD 5.6

http://ftp.openbsd.org/pub/OpenBSD/patches/5.6/common/015_libevent.patch.sig

Patch:

Ubuntu Security Notice USN-2477-1

http://www.ubuntu.com/usn/usn-2477-1/

Patch:

openSUSE Security Update openSUSE-SU-2015:0132-1

http://lists.opensuse.org/opensuse-updates/2015-01/msg00070.html

Patch:

NetBSD Security Advisory NetBSD-SA2015-005

http://ftp.NetBSD.org/pub/NetBSD/security/advisories/NetBSD-SA2015-005.txt.asc

CVE-2014-6272: Pufferüberlauf in Bibliothek libevent

In der Bibliothek libevent, welche asynchron Informationen über Ereignisse
liefert, besteht eine Schwachstelle im ‘evbuffer’. libevent behandelt
Ereignisse im Pufferspeicher (‘buffered event handling’) in unsicherer Weise
und es kann ein Überlauf des Pufferspeichers (Buffer Overflow) ausgelöst
werden.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-0011/

OpenBSD Security Advisory OpenBSD 5.5:
http://www.openbsd.org/errata55.html

OpenBSD Security Advisory OpenBSD 5.6:
http://www.openbsd.org/errata56.html

SUSE Security Update SUSE-SU-2014:1283-1:
https://www.suse.com/support/update/announcement/2014/suse-su-20141283-1.html

Schwachstelle CVE-2014-6272 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-6272

Debian Security Advisory DSA-3119-1:
https://www.debian.org/security/2015/dsa-3119

Quellcode Patch OpenBSD 5.5:
http://ftp.openbsd.org/pub/OpenBSD/patches/5.5/common/020_libevent.patch.sig

Quellcode Patch OpenBSD 5.6:
http://ftp.openbsd.org/pub/OpenBSD/patches/5.6/common/015_libevent.patch.sig

Ubuntu Security Notice USN-2477-1:
http://www.ubuntu.com/usn/usn-2477-1/

openSUSE Security Update openSUSE-SU-2015:0132-1:
http://lists.opensuse.org/opensuse-updates/2015-01/msg00070.html

NetBSD Security Advisory NetBSD-SA2015-005:
http://ftp.NetBSD.org/pub/NetBSD/security/advisories/NetBSD-SA2015-005.txt.asc

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.