UPDATE: DFN-CERT-2015-0780 Libreswan: Eine Schwachstelle ermöglicht einen Denial-of-Service-Angriff [Linux][Fedora][RedHat]

UPDATE: DFN-CERT-2015-0780 Libreswan: Eine Schwachstelle ermöglicht einen Denial-of-Service-Angriff [Linux][Fedora][RedHat]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 4 (24.06.2015):
Für verschiedene Varianten von Red Hat Enterprise Linux 7 stehen
Backport-Sicherheitsupdates für Libreswan zur Verfügung.
Version 3 (04.06.2015):
Für Fedora 20 wird nun ebenfalls ein Sicherheitsupdate auf Version 3.13 in
Form des Paketes libreswan-3.13-1.fc20 im Status ‘testing’ zur Verfügung
gestellt.
Version 2 (03.06.2015):
Für Fedora EPEL 6 wird ein Sicherheitsupdate auf Version 3.13 im Status
‘testing’ zur Verfügung gestellt.

Version 1 (02.06.2015):
Neues Advisory

Betroffene Software:

Libreswan <= 3.12 Betroffene Plattformen: Red Hat Enterprise Linux Desktop 7 Red Hat Enterprise Linux Server 7 Red Hat Enterprise Linux Workstation 7 Red Hat Fedora 20 Red Hat Fedora 21 Red Hat Fedora 22 Extra Packages for Red Hat Enterprise Linux 6 Eine Schwachstelle in Libreswan ermöglicht einem entfernten, nicht authentifizierten Angreifer einen Denial-of-Service-Angriff durchzuführen. Für Fedora 21 und 22 werden Sicherheitsupdates auf Version 3.13 in Form der Pakete libreswan-3.13-1.fc21 und libreswan-3.13-1.fc22 im Status 'testing' zur Verfügung gestellt. Patch: Fedora Security Update FEDORA-2015-9309 https://admin.fedoraproject.org/updates/FEDORA-2015-9309/libreswan-3.13-1.fc22

Patch:

Fedora Security Update FEDORA-2015-9335

https://admin.fedoraproject.org/updates/FEDORA-2015-9335/libreswan-3.13-1.fc21

Patch:

Fedora Security Update FEDORA-EPEL-2015-6530

https://admin.fedoraproject.org/updates/FEDORA-EPEL-2015-6530/libreswan-3.13-1.el6

Patch:

Fedora Security Update FEDORA-2015-9388

https://admin.fedoraproject.org/updates/FEDORA-2015-9388/libreswan-3.13-1.fc20

Patch:

Red Hat Security Advisory RHSA-2015:1154

http://rhn.redhat.com/errata/RHSA-2015-1154.html

CVE-2015-3204: Schwachstelle in libreswan ermöglicht
Denial-of-Service-Angriff

Ein Fehler bei der Zusammenstellung einer Log-Nachricht bezüglich ungültiger
Bit-Namen (IKEv1 payloads) führt zu einem Neustart des Dienstes. Die
Schwachstelle kann durch präparierte IKE-Pakete ausgenutzt werden. Ein
entfernter, nicht authentifizierter Angreifer kann einen
Denial-of-Service-Angriff durchführen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-0780/

Fedora Security Update FEDORA-2015-9309:
https://admin.fedoraproject.org/updates/FEDORA-2015-9309/libreswan-3.13-1.fc22

Fedora Security Update FEDORA-2015-9335:
https://admin.fedoraproject.org/updates/FEDORA-2015-9335/libreswan-3.13-1.fc21

Schwachstelle CVE-2015-3204 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-3204

Fedora Security Update FEDORA-EPEL-2015-6530:
https://admin.fedoraproject.org/updates/FEDORA-EPEL-2015-6530/libreswan-3.13-1.el6

Fedora Security Update FEDORA-2015-9388:
https://admin.fedoraproject.org/updates/FEDORA-2015-9388/libreswan-3.13-1.fc20

Red Hat Security Advisory RHSA-2015:1154:
http://rhn.redhat.com/errata/RHSA-2015-1154.html

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben