Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Historie:
Version 2 (01.02.2016):
Debian stellt für die Distributionen Wheezy, Jessie und Stretch
Sicherheitsupdates zur Verfügung.
Version 1 (25.01.2016):
Neues Advisory
Betroffene Software:
Privoxy <= 3.0.23 Betroffene Plattformen: Debian Linux 7.9 Wheezy Debian Linux 8.2 Jessie Debian Linux 9.0 Stretch Red Hat Fedora 22 Red Hat Fedora 23 Extra Packages for Red Hat Enterprise Linux 6 Extra Packages for Red Hat Enterprise Linux 7 Ein entfernter, nicht authentifizierter Angreifer kann zwei Schwachstellen ausnutzen, um mit Hilfe speziell präparierter Daten einen Denial-of-Service-Angriff auszuführen. Der Hersteller behebt die Schwachstellen in der Programmversion Privoxy 3.0.24. Fedora stellt für die Distributionen Fedora 22 und 23 sowie Fedora EPEL 6 und 7 Backport-Sicherheitsupdates in Form der Pakete privoxy-3.0.23-3.fc22, privoxy-3.0.23-3.fc23, privoxy-3.0.23-2.el6 und privoxy-3.0.23-3.el7 im Status 'testing' bereit. Patch: Announcement Privoxy 3.0.24 http://www.privoxy.org/announce.txt
Patch:
Fedora Security Update FEDORA-2016-29995fbd42 (Fedora 23)
https://bodhi.fedoraproject.org/updates/FEDORA-2016-29995fbd42
Patch:
Fedora Security Update FEDORA-2016-bc7acd24c6 (Fedora 22)
https://bodhi.fedoraproject.org/updates/FEDORA-2016-bc7acd24c6
Patch:
Fedora Security Update FEDORA-EPEL-2016-2fac4bfaba (Fedora EPEL 6)
https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2016-2fac4bfaba
Patch:
Fedora Security Update FEDORA-EPEL-2016-fb26e5cd3c (Fedora EPEL 7)
https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2016-fb26e5cd3c
Patch:
Debian Security Advisory DSA-3460-1
https://www.debian.org/security/2016/dsa-3460
CVE-2016-1983: Schwachstelle in Privoxy ermöglicht Denial-of-Service-Angriff
Es existiert eine Schwachstelle in Privoxy bei der Verarbeitung von
Header-Daten, da fälschlicherweise angenommen wird, dass ‘Host’-Header-Daten
immer präsent sind, wenn im Header eines Client Requests das Signalwort
‘Host: ‘ auftaucht. Ein entfernter, nicht authentifizierter Angreifer kann,
über speziell präparierte Header-Daten, einen Lesezugriff außerhalb des
zugewiesenen Speicherbereichs erzwingen und dadurch einen
Denial-of-Service-Angriff ausführen.
CVE-2016-1982: Schwachstelle in Privoxy ermöglicht Denial-of-Service-Angriff
Es existiert eine Schwachstelle in Privoxy bei der Verarbeitung von
korrumpierten fragmentierten Daten (corrupted chunk-encoded Content). Es
wird beim Lesevorgang nicht geprüft, ob der vorhandene Puffer für das zu
verarbeitende Datenfragment ausreicht. Ein entfernter, nicht
authentifizierter Angreifer kann über speziell präparierte Daten einen
Denial-of-Service-Angriff ausführen.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2016-0134/
Schwachstelle CVE-2016-1982 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-1982
Schwachstelle CVE-2016-1983 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-1983
Announcement Privoxy 3.0.24:
http://www.privoxy.org/announce.txt
Fedora Security Update FEDORA-2016-29995fbd42 (Fedora 23):
https://bodhi.fedoraproject.org/updates/FEDORA-2016-29995fbd42
Fedora Security Update FEDORA-2016-bc7acd24c6 (Fedora 22):
https://bodhi.fedoraproject.org/updates/FEDORA-2016-bc7acd24c6
Fedora Security Update FEDORA-EPEL-2016-2fac4bfaba (Fedora EPEL 6):
https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2016-2fac4bfaba
Fedora Security Update FEDORA-EPEL-2016-fb26e5cd3c (Fedora EPEL 7):
https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2016-fb26e5cd3c
Debian Security Advisory DSA-3460-1:
https://www.debian.org/security/2016/dsa-3460
(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.
