DFN-CERT-2016-0011 Bibliothek Nghttp2: Eine Schwachstelle ermöglicht einen Denial-of-Service-Angriff [Linux][Fedora]

DFN-CERT-2016-0011 Bibliothek Nghttp2: Eine Schwachstelle ermöglicht einen Denial-of-Service-Angriff [Linux][Fedora]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Nghttp2 < 1.6.0 Betroffene Plattformen: Red Hat Fedora 22 Red Hat Fedora 23 Extra Packages for Red Hat Enterprise Linux 7 Eine Schwachstelle in Nghttp2 kann von einem entfernten, nicht authentifizierten Angreifer ausgenutzt werden, um einen Denial-of-Service-Angriff durchzuführen. Die Schwachstelle wurde in der Version 1.6.0 der Bibliothek behoben. Für die Distributionen Fedora 22, Fedora 23 sowie für Fedora EPEL 7 stehen Sicherheitsupdates im Status 'testing' bereit. Patch: Fedora Security Update FEDORA-2016-54f85ec6e8 (Fedora 23) https://bodhi.fedoraproject.org/updates/FEDORA-2016-54f85ec6e8

Patch:

Fedora Security Update FEDORA-2016-8e13ac5754 (Fedora 22)

https://bodhi.fedoraproject.org/updates/FEDORA-2016-8e13ac5754

Patch:

Fedora Security Update FEDORA-EPEL-2016-864da6c179 (Fedora EPEL 7)

https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2016-864da6c179

CVE-2015-8659: Denial-of-Service-Schwachstelle in Nghttp2

Eine Schwachstelle in Nghttp2 besteht in der Behandlung von
Leerlauf-Datenströmen (idle streams). Durch nicht näher beschriebene
Aktionen kann eine Heapspeicher-Nutzung nach der Freigabe des Speichers
ausgelöst werden (heap-use-after-free), die in einem
Denial-of-Service-Zustand resultiert.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2016-0011/

Schwachstelle CVE-2015-8659 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-8659

Fedora Security Update FEDORA-2016-54f85ec6e8 (Fedora 23):
https://bodhi.fedoraproject.org/updates/FEDORA-2016-54f85ec6e8

Fedora Security Update FEDORA-2016-8e13ac5754 (Fedora 22):
https://bodhi.fedoraproject.org/updates/FEDORA-2016-8e13ac5754

Fedora Security Update FEDORA-EPEL-2016-864da6c179 (Fedora EPEL 7):
https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2016-864da6c179

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben