UPDATE: DFN-CERT-2016-0581 Libtasn1: Eine Schwachstelle ermöglicht einen Denial-of-Service-Angriff [Linux][Fedora]

UPDATE: DFN-CERT-2016-0581 Libtasn1: Eine Schwachstelle ermöglicht einen Denial-of-Service-Angriff [Linux][Fedora]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 2 (03.05.2016):
Für die Distributionen Ubuntu 16.04 LTS, Ubuntu 15.10, Ubuntu 14.04 LTS
und Ubuntu 12.04 LTS stehen Sicherheitsupdates zur Verfügung.
Version 1 (12.04.2016):
Neues Advisory

Betroffene Software:

Libtasn1 <= 4.7 Betroffene Plattformen: Canonical Ubuntu Linux 12.04 Lts Canonical Ubuntu Linux 14.04 Lts Canonical Ubuntu Linux 15.10 Canonical Ubuntu Linux 16.04 LTS Red Hat Fedora 22 Red Hat Fedora 23 Red Hat Fedora 24 Ein entfernter, nicht authentifizierter Angreifer kann mit Hilfe speziell präparierter X.509-Zertifikate Programmschleifen erzeugen, die zu einem Denial-of-Service-Zustand (DoS) führen können. Einige dieser Schleifen können zusätzlich die Heap- oder Stack-Nutzung erhöhen. Für Fedora 22, 23 und 24 stehen Sicherheitsupdates auf Libtasn1 4.8 in Form der Pakete libtasn1-4.8-1.fc22 und libtasn1-4.8-1.fc23 im Status 'pending', bzw. libtasn1-4.8-1.fc24 im Status 'testing' bereit. Patch: Fedora Security Update FEDORA-2016-048ffb6235 (Fedora 24, libtasn1-4.8-1) https://bodhi.fedoraproject.org/updates/FEDORA-2016-048ffb6235

Patch:

Fedora Security Update FEDORA-2016-383b8250e6 (Fedora 23, libtasn1-4.8-1)

https://bodhi.fedoraproject.org/updates/FEDORA-2016-383b8250e6

Patch:

Fedora Security Update FEDORA-2016-96bfd9e873 (Fedora 22, libtasn1-4.8-1)

https://bodhi.fedoraproject.org/updates/FEDORA-2016-96bfd9e873

Patch:

Ubuntu Security Notice USN-2957-1

http://www.ubuntu.com/usn/usn-2957-1/

Patch:

Ubuntu Security Notice USN-2957-2

http://www.ubuntu.com/usn/usn-2957-2/

CVE-2016-4008: Schwachstelle in Libtasn1 ermöglicht
Denial-of-Service-Angriff

Durch eine Schwachstelle in Libtasn1 kann es bei der Verarbeitung von
X.509-Zertifikaten in DER-Darstellung zu einer sehr langen Schleife oder zu
einer Endlosschleife kommen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2016-0581/

Fedora Security Update FEDORA-2016-048ffb6235 (Fedora 24, libtasn1-4.8-1):
https://bodhi.fedoraproject.org/updates/FEDORA-2016-048ffb6235

Fedora Security Update FEDORA-2016-383b8250e6 (Fedora 23, libtasn1-4.8-1):
https://bodhi.fedoraproject.org/updates/FEDORA-2016-383b8250e6

Fedora Security Update FEDORA-2016-96bfd9e873 (Fedora 22, libtasn1-4.8-1):
https://bodhi.fedoraproject.org/updates/FEDORA-2016-96bfd9e873

Schwachstelle CVE-2016-4008 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-4008

Ubuntu Security Notice USN-2957-1:
http://www.ubuntu.com/usn/usn-2957-1/

Ubuntu Security Notice USN-2957-2:
http://www.ubuntu.com/usn/usn-2957-2/

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben