DFN-CERT-2015-1647 Apple Mac OS X Server: Mehrere Schwachstellen ermöglichen einen Denial-of-Service-Angriff und das Umgehen von Sicherheitsvorkehrungen [Apple]

DFN-CERT-2015-1647 Apple Mac OS X Server: Mehrere Schwachstellen ermöglichen einen Denial-of-Service-Angriff und das Umgehen von Sicherheitsvorkehrungen [Apple]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

ISC BIND < 9.9.7-P3 Apple Mac OS X Server < 5.0.15 Betroffene Plattformen: Apple Mac OS X 10.10.5 Apple Mac OS X >= 10.11.1

Mehrere Schwachstellen im OS X Server ermöglichen einem entfernten, nicht
authentisierten Angreifer das Umgehen von Sicherheitsvorkehrungen und das
Bewirken eines Denial-of-Service-Zustandes.

Apple stellt die OS X Server Version 5.0.15 für OS X Yosemite 10.10.5 und OS
X El Capitan 10.11.1 sowie spätere Versionen bereit, mit der auch ISC Bind
auf Version 9.9.7-P3 aktualisiert wird.

Patch:

Apple Security Advisory APPLE-SA-2015-10-21-8 (OS X Server 5.0.15)

https://support.apple.com/de-de/HT205376

CVE-2015-7031: Schwachstelle in Apple OS X Server ermöglicht das Umgehen von
Sicherheitsvorkehrungen

Ein Schwachstelle in den Web Services des Apple OS X Servers beruht auf
einer fehlenden HTTP-Header Feldreferenz in der Konfigurationsdatei. Ein
entfernter, nicht authentisierter Angreifer kann diese Schwachstelle
ausnutzen, um Zugriffsbeschränkungen zu umgehen.

CVE-2015-5986: Schwachstelle in BIND-Server ermöglicht
Denial-of-Service-Angriff

Im Programmteil “openpgpkey_61.c” in ISC BIND besteht eine Schwachstelle
aufgrund der Nichteinhaltung bestimmter Grenzwerte durch die Funktion
“fromwire_openpgpkey()”. Die Schwachstelle beruht auf der fehlerhaften
Behandlung von bestimmten PGP-Schlüsseln, die eine REQUIRE-Zusicherung
(Assertion) auslösen und den named-Prozess beenden. Ein entfernter, nicht
authentifizierter Angreifer kann durch das Verschicken einer manipulierten
Antwort auf eine Anfrage einen Denial-of-Service-Angriff durchführen.

CVE-2015-5722: Schwachstelle in BIND-Server ermöglicht
Denial-of-Service-Angriff

Im Programmteil “buffer.c” in ISC BIND besteht eine Schwachstelle beim
Parsen von DNSSEC-Schlüsseln. Beim Parsen bestimmter Schlüssel beendet sich
der Resolver bei der Validierung aufgrund einer Zusicherungsbedingung
(Assertion) und hinterlässt den BIND-Server unerreichbar für Clients. Ein
entfernter, nicht authentifizierter Angreifer kann durch das Verschicken
manipulierter DNSSEC-Schlüssel einen Denial-of-Service-Angriff durchführen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-1647/

Schwachstelle CVE-2015-5722 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-5722

Schwachstelle CVE-2015-5986 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-5986

Apple Security Advisory APPLE-SA-2015-10-21-8 (OS X Server 5.0.15):
https://support.apple.com/de-de/HT205376

Schwachstelle CVE-2015-7031 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-7031

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben