UPDATE: DFN-CERT-2015-1220 GNU GnuTLS: Eine Schwachstelle ermöglicht einen Denial-of-Service-Angriff [Linux][Debian][Fedora][SuSE]

UPDATE: DFN-CERT-2015-1220 GNU GnuTLS: Eine Schwachstelle ermöglicht einen Denial-of-Service-Angriff [Linux][Debian][Fedora][SuSE]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 4 (07.09.2015):
Für openSUSE 13.1 und openSUSE 13.2 stehen Sicherheitsupdates bereit.
Version 3 (13.08.2015):
Für die Distribution Fedora 23 steht nun ein Upstream-Sicherheitsupdate
auf die GnuTLS Version 3.4.4 im Status “testing” zur Verfügung.
Version 2 (13.08.2015):
Für die Distribution Debian Jessie steht ein Sicherheitsupdate bereit.
Version 1 (11.08.2015):
Neues Advisory

Betroffene Software:

GNU GnuTLS < 3.3.17 GNU GnuTLS < 3.4.4 Betroffene Plattformen: Debian Linux 8.1 Jessie openSUSE 13.1 openSUSE 13.2 Red Hat Fedora 21 Red Hat Fedora 22 Red Hat Fedora 23 Ein entfernter, nicht authentifizierter Angreifer kann durch Ausnutzen dieser Schwachstelle einen Denial-of-Service-Angriff ausführen. Für die Distributionen Fedora 21 und 22 stehen Sicherheitsupdates auf die GnuTLS Version 3.3.17 im Status "testing" zur Verfügung. Patch: Fedora Security Update FEDORA-2015-13140 https://admin.fedoraproject.org/updates/FEDORA-2015-13140/gnutls-3.3.17-1.fc22

Patch:

Fedora Security Update FEDORA-2015-13168

https://admin.fedoraproject.org/updates/FEDORA-2015-13168/gnutls-3.3.17-1.fc21

Patch:

Debian Security Advisory DSA-3334-1

https://www.debian.org/security/2015/dsa-3334

Patch:

Fedora Security Update FEDORA-2015-13287

https://admin.fedoraproject.org/updates/FEDORA-2015-13287/gnutls-3.4.4-1.fc23

Patch:

GnuTLS Security Advisory GNUTLS-SA-2015-3

http://www.gnutls.org/security.html#GNUTLS-SA-2015-3

Patch:

openSUSE Security Update openSUSE-SU-2015:1499-1

http://lists.opensuse.org/opensuse-updates/2015-09/msg00001.html

CVE-2015-6251: Schwachstelle in GnuTLS erlaubt Denial-of-Service-Angriff

Die Funktion “_gnutls_x509_dn_to_string()” enthält eine
Use-after-free-Schwachstelle. Durch Senden eines speziellen Zertifikats, mit
einem sehr langen DistinguishedName, das durch eine Anwendung behandelt
wird, die “GnuTLS” nutzt, kann die Anwendung zum Absturz gebracht werden.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-1220/

Fedora Security Update FEDORA-2015-13140:
https://admin.fedoraproject.org/updates/FEDORA-2015-13140/gnutls-3.3.17-1.fc22

Fedora Security Update FEDORA-2015-13168:
https://admin.fedoraproject.org/updates/FEDORA-2015-13168/gnutls-3.3.17-1.fc21

Debian Security Advisory DSA-3334-1:
https://www.debian.org/security/2015/dsa-3334

Fedora Security Update FEDORA-2015-13287:
https://admin.fedoraproject.org/updates/FEDORA-2015-13287/gnutls-3.4.4-1.fc23

GnuTLS Security Advisory GNUTLS-SA-2015-3:
http://www.gnutls.org/security.html#GNUTLS-SA-2015-3

Schwachstelle CVE-2015-6251 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-6251

openSUSE Security Update openSUSE-SU-2015:1499-1:
http://lists.opensuse.org/opensuse-updates/2015-09/msg00001.html

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben