Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Historie:
Version 4 (08.04.2015):
Für SUSE Linux Enterprise Software Development Kit 11 SP3 und 12, SUSE
Linux Enterprise Server 11 SP3, Server 11 SP3 for VMware und 12 sowie SUSE
Linux Enterprise Desktop 11 SP3 und 12 stehen Sicherheitsupdates zur
Verfügung.
Version 3 (19.03.2015):
Für openSUSE 13.2 und openSUSE 13.1 werden aktuelle Pakete von libssh2
1.5.0 zur Verfügung gestellt, um diese Schwachstellen zu beheben.
Version 2 (13.03.2015):
Für Red Hat Fedora 20, 21 und 22 werden aktuelle Pakete
libssh2-1.5.0-1.fc20, libssh2-1.5.0-1.fc21, bzw. libssh2-1.5.0-1.fc22
(alle im Status “testing”) zur Verfügung gestellt, um diese Schwachstellen
zu beheben.
Version 1 (11.03.2015):
Neues Advisory
Betroffene Software:
Bibliothek libssh < libssh2 1.5.0 Betroffene Plattformen: SUSE Software Development Kit 11 SP3 Enterprise SUSE Software Development Kit 12 Enterprise Debian Linux 7.7 Wheezy openSUSE 13.1 openSUSE 13.2 SUSE Linux Enterprise Desktop 11 SP3 SUSE Linux Enterprise Desktop 12 SUSE Linux Enterprise Server 11 SP3 SUSE Linux Enterprise Server 11 SP3 VMware SUSE Linux Enterprise Server 12 Red Hat Fedora 20 Red Hat Fedora 21 Red Hat Fedora 22 Eine Schwachstelle in der Bibliothek libssh2 ermöglicht einem entfernten, nicht authentifizierten Angreifer einen Denial-of-Service-Angriff oder Informationen auszuspähen. Patch: Debian Security Advisory DSA-3182-1 https://www.debian.org/security/2015/dsa-3182
Patch:
Fedora Security Update FEDORA-2015-3757
https://admin.fedoraproject.org/updates/FEDORA-2015-3757/libssh2-1.5.0-1.fc22
Patch:
Fedora Security Update FEDORA-2015-3791
https://admin.fedoraproject.org/updates/FEDORA-2015-3791/libssh2-1.5.0-1.fc20
Patch:
Fedora Security Update FEDORA-2015-3797
https://admin.fedoraproject.org/updates/FEDORA-2015-3797/libssh2-1.5.0-1.fc21
Patch:
openSUSE Security Update openSUSE-SU-2015:0534-1
http://lists.opensuse.org/opensuse-updates/2015-03/msg00057.html
Patch:
SUSE Security Update SUSE-SU-2015:0669-1
https://www.suse.com/support/update/announcement/2015/suse-su-20150669-1.html
Patch:
SUSE Security Update SUSE-SU-2015:0676-1
https://www.suse.com/support/update/announcement/2015/suse-su-20150676-1.html
CVE-2015-1782: Schwachstelle in libssh2 ermöglicht das Ausspähen von
Informationen
Eine Schwachstelle in der libssh2 führt dazu, dass SSH_MSG_KEXINIT Pakete
ohne ausreichenden Bereichsüberprüfung beim Aushandeln einer neuen SSH
Verbindung gelesen und verwendet werden. Ein Man-in-the-Middle kann nicht
beabsichtigte Speicherbereiche innerhalb des Processes lesen oder benutzen
oder einen Denial-of-Service-Zustand herbeiführen.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-0333/
Debian Security Advisory DSA-3182-1:
https://www.debian.org/security/2015/dsa-3182
Schwachstelle CVE-2015-1782 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-1782
Fedora Security Update FEDORA-2015-3757:
https://admin.fedoraproject.org/updates/FEDORA-2015-3757/libssh2-1.5.0-1.fc22
Fedora Security Update FEDORA-2015-3791:
https://admin.fedoraproject.org/updates/FEDORA-2015-3791/libssh2-1.5.0-1.fc20
Fedora Security Update FEDORA-2015-3797:
https://admin.fedoraproject.org/updates/FEDORA-2015-3797/libssh2-1.5.0-1.fc21
openSUSE Security Update openSUSE-SU-2015:0534-1:
http://lists.opensuse.org/opensuse-updates/2015-03/msg00057.html
SUSE Security Update SUSE-SU-2015:0669-1:
https://www.suse.com/support/update/announcement/2015/suse-su-20150669-1.html
SUSE Security Update SUSE-SU-2015:0676-1:
https://www.suse.com/support/update/announcement/2015/suse-su-20150676-1.html
(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.
