UPDATE: DFN-CERT-2013-1857 Cyrus SASL: Eine Schwachstelle ermöglicht einen Denial-of-Service-Angriff [Linux][Debian]

UPDATE: DFN-CERT-2013-1857 Cyrus SASL: Eine Schwachstelle ermöglicht einen Denial-of-Service-Angriff [Linux][Debian]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 2 (01.10.2015):
Canonical stellt für Ubuntu 15.04 ein Sicherheitsupdate bereit.
Version 1 (28.09.2015):
Neues Advisory

Betroffene Software:

Cyrus Simple Authentication and Security Layer (SASL) >= 1.5.28
Cyrus Simple Authentication and Security Layer (SASL) <= 2.1.26 Betroffene Plattformen: Canonical Ubuntu Linux 13.04 Canonical Ubuntu Linux 15.04 Debian Linux 8.2 Jessie Eine Schwachstelle in Cyrus SASL ermöglicht einem entfernten, nicht authentifizierten Angreifer durch die Verwendung präparierter Passworte einen Denial-of-Service-Angriff durchzuführen. Debian stellt für die Distribution Jessie (stable) ein Sicherheitsupdate zur Verfügung. Patch: Ubuntu Security Notice USN-1988-1 http://www.ubuntu.com/usn/usn-1988-1/

Patch:

Debian Security Advisory DSA-3368-1

https://www.debian.org/security/2015/dsa-3368

Patch:

Ubuntu Security Notice USN-2755-1

http://www.ubuntu.com/usn/usn-2755-1/

CVE-2013-4122: Schwachstelle in Cyrus SASL ermöglicht
Denial-of-Service-Angriff

Es existiert eine Schwachstelle in Cyrus SASL, die auf eine fehlerhafte
Behandlung von bestimmten, ungültigen ‘password salts’ zurückzuführen ist.
(In der Kryptographie steht Salt (Salz) für eine zufällige Zeichenfolge, die
vor der Erstellung eines Hashwertes dem Klartext hinzugefügt wird, um den
Schutz vor Angriffen zu verbessern.) Durch einen Fehler in einer
Krypto-Funktion kann ein NULL-Zeiger zurückgeliefert werden. Dies ermöglicht
den Dienst in einen Denial-of-Service-Zustand zu versetzen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2013-1857/

Ubuntu Security Notice USN-1988-1:
http://www.ubuntu.com/usn/usn-1988-1/

Schwachstelle CVE-2013-4122 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-4122

Debian Security Advisory DSA-3368-1:
https://www.debian.org/security/2015/dsa-3368

Ubuntu Security Notice USN-2755-1:
http://www.ubuntu.com/usn/usn-2755-1/

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben