UPDATE: DFN-CERT-2015-0645 Libtasn1: Eine Schwachstelle ermöglicht das Ausführen beliebigen Programmcodes [Linux][Debian][Fedora][SuSE]

UPDATE: DFN-CERT-2015-0645 Libtasn1: Eine Schwachstelle ermöglicht das Ausführen beliebigen Programmcodes [Linux][Debian][Fedora][SuSE]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 4 (14.08.2015):
Für die Distributionen openSUSE 13.2 und openSUSE 13.1 stehen
Sicherheitsupdates zur Verfügung.
Version 3 (11.05.2015):
Ubuntu stellt Sicherheitsupdates für Ubuntu 15.04 (vivid), 14.10, 14.04
LTS und 12.04 LTS bereit.
Version 2 (11.05.2015):
Für die stabile Distribution Debian Jessie und die testing Distribution
Stretch stehen Sicherheitsupdates zur Verfügung.
Version 1 (04.05.2015):
Neues Advisory

Betroffene Software:

Libtasn1 <= 4.4 Betroffene Plattformen: Canonical Ubuntu Linux 12.04 Lts Canonical Ubuntu Linux 14.04 Lts Canonical Ubuntu Linux 14.10 Canonical Ubuntu Linux 15.04 Debian Linux 8.0 Jessie Debian Linux 9.0 Stretch openSUSE 13.1 openSUSE 13.2 Red Hat Fedora 21 Red Hat Fedora 22 Eine Schwachstelle in der Bibliothek Libtasn1 vor Version 4.5 ermöglicht einem entfernten, nicht authentifizierten Angreifer einen Denial-of-Service-Angriff durchzuführen oder beliebigen Programmcode auszuführen. Patch: Fedora Security Update FEDORA-2015-7288 https://admin.fedoraproject.org/updates/FEDORA-2015-7288/libtasn1-4.5-1.fc21

Patch:

Fedora Security Update FEDORA-2015-7327

https://admin.fedoraproject.org/updates/FEDORA-2015-7327/libtasn1-4.5-1.fc22

Patch:

Debian Security Advisory DSA-3256-1

https://www.debian.org/security/2015/dsa-3256

Patch:

Ubuntu Security Notice USN-2604-1

http://www.ubuntu.com/usn/usn-2604-1/

Patch:

openSUSE Security Update openSUSE-SU-2015:1372-1

http://lists.opensuse.org/opensuse-updates/2015-08/msg00014.html

CVE-2015-3622: Schwachstelle in Libtasn1 ermöglicht Ausführung beliebigen
Programmcodes

Eine Schwachstelle in der Funktion _asn1_extract_der_octet() der Bibliothek
Libtasn1 führt zu einer fehlerbehafteten Entschlüsselung von DER-kodierten
Eingaben. Durch die Verarbeitung von präparierten DER-Eingaben kommt es zu
einem Heap-basierten Überlauf.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-0645/

Fedora Security Update FEDORA-2015-7288:
https://admin.fedoraproject.org/updates/FEDORA-2015-7288/libtasn1-4.5-1.fc21

Fedora Security Update FEDORA-2015-7327:
https://admin.fedoraproject.org/updates/FEDORA-2015-7327/libtasn1-4.5-1.fc22

Schwachstelle CVE-2015-3622 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-3622

Debian Security Advisory DSA-3256-1:
https://www.debian.org/security/2015/dsa-3256

Ubuntu Security Notice USN-2604-1:
http://www.ubuntu.com/usn/usn-2604-1/

openSUSE Security Update openSUSE-SU-2015:1372-1:
http://lists.opensuse.org/opensuse-updates/2015-08/msg00014.html

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben