DFN-CERT-2015-1694 MiniUPnP: Eine Schwachstelle ermöglicht das Ausführen beliebigen Programmcodes [Linux][Fedora]

DFN-CERT-2015-1694 MiniUPnP: Eine Schwachstelle ermöglicht das Ausführen beliebigen Programmcodes [Linux][Fedora]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

MiniUPnP <= 1.9 Betroffene Plattformen: Red Hat Fedora 21 Red Hat Fedora 22 Red Hat Fedora 23 Eine Schwachstelle in MiniUPnP ermöglicht einem entfernten, nicht authentifizierten Angreifer das Ausführen beliebigen Programmcodes. Für Fedora 21, 22 und 23 stehen Sicherheitsupdates in Form der Pakete miniupnpc-1.9-6.fc21, miniupnpc-1.9-6.fc22 und miniupnpc-1.9-6.fc23 im Status 'testing' zur Verfügung. Patch: Fedora Security Update FEDORA-2015-69e6c3607f (Fedora 21) https://bodhi.fedoraproject.org/updates/FEDORA-2015-69e6c3607f

Patch:

Fedora Security Update FEDORA-2015-81ded368fe (Fedora 23)

https://bodhi.fedoraproject.org/updates/FEDORA-2015-81ded368fe

Patch:

Fedora Security Update FEDORA-2015-9039c25f1d (Fedora 22)

https://bodhi.fedoraproject.org/updates/FEDORA-2015-9039c25f1d

Red Hat Bug ID 1270182: Speicherüberlauf-Schwachstelle in MiniUPnP
ermöglicht Ausführen beliebigen Programmcodes

Es existiert eine Speicherüberlauf-Schwachstelle in der clientseitigen
Bibliothek von MiniUPnP, die durch einen unsicheren Aufruf von ‘memcpy’ im
XML-Parser bei der initialen Erkundung des Netzwerkes hervorgerufen wird.
Der verwundbare Code wird bei der Verarbeitung einer Antwort von einem UPnP
Server ausgeführt. Ein Angreifer kann diese Schwachstelle ausnutzen und mit
einem eigenen UPnP Server eine speziell präparierte XML-Antwort an einen
Client versenden, um einen Speicherüberlauf zu verursachen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-1694/

Fedora Security Update FEDORA-2015-69e6c3607f (Fedora 21):
https://bodhi.fedoraproject.org/updates/FEDORA-2015-69e6c3607f

Fedora Security Update FEDORA-2015-81ded368fe (Fedora 23):
https://bodhi.fedoraproject.org/updates/FEDORA-2015-81ded368fe

Fedora Security Update FEDORA-2015-9039c25f1d (Fedora 22):
https://bodhi.fedoraproject.org/updates/FEDORA-2015-9039c25f1d

Red Hat Bugzilla – Bug 1270182:
https://bugzilla.redhat.com/show_bug.cgi?id=1270182

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben