DFN-CERT-2015-0578 GNU GnuTLS, Libtasn1: Eine Schwachstelle ermöglicht einen Denial-of-Service Angriff [Linux][Fedora]

DFN-CERT-2015-0578 GNU GnuTLS, Libtasn1: Eine Schwachstelle ermöglicht einen Denial-of-Service Angriff [Linux][Fedora]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

GNU GnuTLS <= 3.3.14 Libtasn1 <= 4.4 Betroffene Plattformen: Extra Packages for Red Hat Enterprise Linux 7 Ein entfernter, nicht authentisierter Angreifer kann diese Use-after-free-Schwachstelle ausnutzen, um einen Denial-of-Service (DoS)-Angriff durchzuführen. Für Fedora EPEL 7 werden Sicherheitsupdates in Form der aktuellen Pakete mingw-gnutls-3.3.14-1.el7, mingw-libtasn1-4.4-1.el7 und mingw-p11-kit-0.20.7-1.el7 (im Status "testing") zur Verfügung gestellt. Patch: Fedora Security Update FEDORA-EPEL-2015-5832 https://admin.fedoraproject.org/updates/FEDORA-EPEL-2015-5832/mingw-gnutls-3.3.14-1.el7,mingw-libtasn1-4.4-1.el7,mingw-p11-kit-0.20.7-1.el7

CVE-2015-3308: Use-after-free-Schwachstelle in GnuTLS

Eine Schwachstelle in GnuTLS beim Parsen von Sperrlistenverteilungspunkten
(“CRL Distribution Points”) führt dazu, dass Speicher nach dessen Freigabe
weiterverwendet werden kann (“Use-after-free”).

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-0578/

Fedora Security Update FEDORA-EPEL-2015-5832:
https://admin.fedoraproject.org/updates/FEDORA-EPEL-2015-5832/mingw-gnutls-3.3.14-1.el7,mingw-libtasn1-4.4-1.el7,mingw-p11-kit-0.20.7-1.el7

Schwachstelle CVE-2015-3308 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-3308

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben