UPDATE: DFN-CERT-2014-1642 Unbound: Eine Schwachstelle ermöglicht einen Denial-of-Service-Angriff [Linux][Debian][Fedora][RedHat][SuSE][Unix][FreeBSD][OpenBSD]

UPDATE: DFN-CERT-2014-1642 Unbound: Eine Schwachstelle ermöglicht einen Denial-of-Service-Angriff [Linux][Debian][Fedora][RedHat][SuSE][Unix][FreeBSD][OpenBSD]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 7 (20.11.2015):
Red Hat stellt für die Red Hat Enterprise Linux 7 Varianten Desktop, HPC
Node, Server und Workstation Sicherheitsupdates zur Verfügung, um die
Schwachstelle zu schließen.
Version 6 (16.02.2015):
Für Fedora EPEL 6 wird ein Sicherheitsupdate auf Unbound 1.5.1 zur
Verfügung gestellt.
Version 5 (26.01.2015):
Canonical stellt für die Distributionen Ubuntu 14.04 LTS und Ubuntu 14.10
Sicherheitsupdates bereit.
Version 4 (24.12.2014):
Für die Distribution openSUSE 13.2 steht ein Sicherheitsupdate zur
Verfügung.
Version 3 (17.12.2014):
FreeBSD teil mit, dass auch FreeBSD 10.0-RELEASE und später betroffen
sind. Diese Schwachstelle wird behoben für die FreeBSD-Branches stable/10
durch 10.1-STABLE, für releng/10.1 durch 10.1-RELEASE-p2 sowie releng/10.0
durch 10.0-RELEASE-p14.
Version 2 (12.12.2014):
Für Fedora 20 und Fedora 21 stehen Sicherheitsupdates zur Verfügung.
Version 1 (11.12.2014):
Neues Advisory

Betroffene Software:

Unbound < 1.5.1 Betroffene Plattformen: Canonical Ubuntu Linux 14.04 Lts Canonical Ubuntu Linux 14.10 Debian Linux 7.7 Wheezy Debian Linux 8.0 Jessie FreeBSD 10 FreeBSD 10.0 FreeBSD < 10.0-RELEASE-p14 FreeBSD 10.1 FreeBSD < 10.1-RELEASE-p2 FreeBSD < 10.1-STABLE openSUSE 13.2 OpenBSD 5.6 Red Hat Enterprise Linux Desktop 7 Red Hat Enterprise Linux HPC Node 7 Red Hat Enterprise Linux Server 7 Red Hat Enterprise Linux Workstation 7 Red Hat Fedora 20 Red Hat Fedora 21 Extra Packages for Red Hat Enterprise Linux 6 Durch Ausnutzen dieser Schwachstelle kann ein entfernter, nicht authentifizierter Angreifer einen Denial-of-Service (DoS)-Angriff durchführen. Für Debian Wheezy und Debian Jessie wurden aktualisierte Pakete von Unbound 1.4.17, bzw. 1.4.22 bereitgestellt. Für OpenBSD 5.6 wurde ein Source-Code-Patch zur Verfügung gestellt. Patch: OpenBSD Security Advisory OpenBSD 5.6 http://www.openbsd.org/errata56.html

Patch:

Debian Security Advisory DSA-3097-1

https://www.debian.org/security/2014/dsa-3097

Patch:

Fedora Security Update FEDORA-2014-16647

https://admin.fedoraproject.org/updates/FEDORA-2014-16647/unbound-1.5.1-2.fc21

Patch:

Fedora Security Update FEDORA-2014-16671

https://admin.fedoraproject.org/updates/FEDORA-2014-16671/unbound-1.5.1-2.fc20

Patch:

FreeBSD Security Advisory FreeBSD-SA-14:30.unbound

http://www.freebsd.org/security/advisories/FreeBSD-SA-14%3A30.unbound.asc

Patch:

openSUSE Security Update openSUSE-SU-2014:1688-1

http://lists.opensuse.org/opensuse-updates/2014-12/msg00085.html

Patch:

Ubuntu Security Notice USN-2484-1

http://www.ubuntu.com/usn/usn-2484-1/

Patch:

Fedora Security Update FEDORA-EPEL-2015-0701

https://admin.fedoraproject.org/updates/FEDORA-EPEL-2015-0701/unbound-1.5.1-1.el6

Patch:

Red Hat Security Advisory RHSA-2015:2455

http://rhn.redhat.com/errata/RHSA-2015-2455.html

CVE-2014-8602: Schwachstelle in Unbound erlaubt Denial-of-Service

Eine Schwachstelle in iterator.c in NLnet Labs Unbound bevor 1.5.1 besteht
darin, dass Delegationsketten nicht limitiert werden. Ein entfernter, nicht
authentifizierter Angreifer kann die Schwachstelle ausnutzen, durch eine
große oder unendliche Anzahl von “Referrals”, um einen Denial-of-Service
(DoS)-Zustand (Speicher- und CPU-Verbrauch) herbeizuführen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-1642/

OpenBSD Security Advisory OpenBSD 5.6:
http://www.openbsd.org/errata56.html

Debian Security Advisory DSA-3097-1:
https://www.debian.org/security/2014/dsa-3097

Schwachstelle CVE-2014-8602 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-8602

Fedora Security Update FEDORA-2014-16647:
https://admin.fedoraproject.org/updates/FEDORA-2014-16647/unbound-1.5.1-2.fc21

Fedora Security Update FEDORA-2014-16671:
https://admin.fedoraproject.org/updates/FEDORA-2014-16671/unbound-1.5.1-2.fc20

FreeBSD Security Advisory FreeBSD-SA-14:30.unbound:
http://www.freebsd.org/security/advisories/FreeBSD-SA-14%3A30.unbound.asc

openSUSE Security Update openSUSE-SU-2014:1688-1:
http://lists.opensuse.org/opensuse-updates/2014-12/msg00085.html

Ubuntu Security Notice USN-2484-1:
http://www.ubuntu.com/usn/usn-2484-1/

Fedora Security Update FEDORA-EPEL-2015-0701:
https://admin.fedoraproject.org/updates/FEDORA-EPEL-2015-0701/unbound-1.5.1-1.el6

Red Hat Security Advisory RHSA-2015:2455:
http://rhn.redhat.com/errata/RHSA-2015-2455.html

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben