Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Historie:
Version 7 (27.05.2015):
SUSE stellt für die Distributionen SUSE Linux Enterprise Software
Development Kit 12, SUSE Linux Enterprise Server 12 und SUSE Linux
Enterprise Desktop 12 Sicherheitsupdates auf die Versionen tigervnc 1.4.1
und X.Org 1.15.2 zur Verfügung.
Version 6 (10.04.2015):
Red Hat veröffentlicht für die Red Hat Enterprise Linux 6 und 7 Produkte
Desktop, HPC Node, Server und Workstation sowie Server EUS 6.6.z
Sicherheitsupdates.
Version 5 (05.03.2015):
Für SUSE Linux Enterprise Software Development Kit 11 SP3, SUSE Linux
Enterprise Server 11 SP3 for VMware. SUSE Linux Enterprise Server 11 SP3,
SUSE Linux Enterprise Desktop 11 SP3, SUSE Linux Enterprise Software
Development Kit 12, SUSE Linux Enterprise Server 12 und SUSE Linux
Enterprise Desktop 12 stehen Sicherheitsupdates für xorg-x11-Xvnc bzw.
xorg-x11-server zur Verfügung.
Version 4 (05.03.2015):
Für die Distributionen SUSE Linux Enterprise Software Development Kit 11
SP3, SUSE Linux Enterprise Server 11 SP3 for VMware, SUSE Linux Enterprise
Server 11 SP3 und SUSE Linux Enterprise Desktop 11 SP3 stehen
Sicherheitsupdates für den xorg-x11 Server zur Verfügung.
Version 3 (03.03.2015):
Für die Distributionen SUSE Linux Enterprise Software Development Kit 12,
SUSE Linux Enterprise Server 12 und SUSE Linux Enterprise Desktop 12
stehen Sicherheitsupdates für den xorg-x11 Server zur Verfügung.
Version 2 (20.02.2015):
Für die Distributionen openSUSE 13.2 und openSUSE 13.1 stehen
Sicherheitsupdates für den xorg-x11 Server zur Verfügung und für openSUSE
13.2 stehen zusätzlich Sicherheitsupdates für tigervnc bereit.
Version 1 (12.02.2015):
Neues Advisory
Betroffene Software:
TigerVNC
X.Org-Server
X.Org-Server < 1.15.2
TigerVNC <= 1.4.0
Betroffene Plattformen:
SUSE Software Development Kit 11 SP3 Enterprise
SUSE Software Development Kit 12 Enterprise
Debian Linux 7.7 Wheezy
openSUSE 13.1
openSUSE 13.2
SUSE Linux Enterprise Desktop 11 SP3
SUSE Linux Enterprise Desktop 12
SUSE Linux Enterprise Server 11 SP3
SUSE Linux Enterprise Server 11 SP3 VMware
SUSE Linux Enterprise Server 12
Red Hat Enterprise Linux Desktop 6
Red Hat Enterprise Linux Desktop 7
Red Hat Enterprise Linux HPC Node 6
Red Hat Enterprise Linux HPC Node 7
Red Hat Enterprise Linux Server 6
Red Hat Enterprise Linux Server 6.6.z EUS
Red Hat Enterprise Linux Server 7
Red Hat Enterprise Linux Workstation 6
Red Hat Enterprise Linux Workstation 7
Eine Schwachstelle im X.Org-Server ermöglicht einem entfernten, nicht
authentifizierten Angreifer einen Denial-of-Service-Angriff durchzuführen
oder Informationen auszuspähen.
Debian stellt für die Distribution Wheezy ein aktualisiertes Paket auf die
Version 2:1.12.4-6+deb7u6 zur Verfügung.
Patch:
Debian Security Advisory DSA-3160-1
https://www.debian.org/security/2015/dsa-3160
Patch:
openSUSE Security Update openSUSE-SU-2015:0337-1
http://lists.opensuse.org/opensuse-updates/2015-02/msg00085.html
Patch:
openSUSE Security Update openSUSE-SU-2015:0338-1
http://lists.opensuse.org/opensuse-updates/2015-02/msg00086.html
Patch:
SUSE Security Update SUSE-SU-2015:0402-1
https://www.suse.com/support/update/announcement/2015/suse-su-20150402-1.html
Patch:
SUSE Security Update SUSE-SU-2015:0398-1
https://www.suse.com/support/update/announcement/2015/suse-su-20150398-1.html
Patch:
SUSE Security Update SUSE-SU-2015:0399-1
https://www.suse.com/support/update/announcement/2015/suse-su-20150399-1.html
Patch:
SUSE Security Update SUSE-SU-2015:0403-1
https://www.suse.com/support/update/announcement/2015/suse-su-20150403-1.html
Patch:
SUSE Security Update SUSE-SU-2015:0427-1
https://www.suse.com/support/update/announcement/2015/suse-su-20150427-1.html
Patch:
Red Hat Security Advisory RHSA-2015:0797
http://rhn.redhat.com/errata/RHSA-2015-0797.html
Patch:
SUSE Security Update SUSE-SU-2015:0939-1
https://www.suse.com/support/update/announcement/2015/suse-su-20150939-1.html
CVE-2015-0255: Schwachstelle in XkbSetGeometry ermöglicht das Ausspähen von
Informationen
Eine Schwachstelle in der Überprüfung von Längenangaben in einer
XkbSetGeometry-Anfrage führt dazu, dass durch eine präpariere Längenangabe
benachbarte Speicherbereiche in die XKB-Struktur kopiert werden. Ein
entfernter, nicht authentifizierter Angreifer kann durch präparierte
XkbSetGeometry-Anfragen einen Denial-of-Service-Angriff durchführen oder
Informationen ausspähen.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-0188/
Debian Security Advisory DSA-3160-1:
https://www.debian.org/security/2015/dsa-3160
Schwachstelle CVE-2015-0255 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0255
openSUSE Security Update openSUSE-SU-2015:0337-1:
http://lists.opensuse.org/opensuse-updates/2015-02/msg00085.html
openSUSE Security Update openSUSE-SU-2015:0338-1:
http://lists.opensuse.org/opensuse-updates/2015-02/msg00086.html
SUSE Security Update SUSE-SU-2015:0402-1:
https://www.suse.com/support/update/announcement/2015/suse-su-20150402-1.html
SUSE Security Update SUSE-SU-2015:0398-1:
https://www.suse.com/support/update/announcement/2015/suse-su-20150398-1.html
SUSE Security Update SUSE-SU-2015:0399-1:
https://www.suse.com/support/update/announcement/2015/suse-su-20150399-1.html
SUSE Security Update SUSE-SU-2015:0403-1:
https://www.suse.com/support/update/announcement/2015/suse-su-20150403-1.html
SUSE Security Update SUSE-SU-2015:0427-1:
https://www.suse.com/support/update/announcement/2015/suse-su-20150427-1.html
Red Hat Security Advisory RHSA-2015:0797:
http://rhn.redhat.com/errata/RHSA-2015-0797.html
SUSE Security Update SUSE-SU-2015:0939-1:
https://www.suse.com/support/update/announcement/2015/suse-su-20150939-1.html
(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.
