Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Historie:
Version 5 (06.05.2016):
Für SUSE Webyast 1.3, Studio Onsite 1.3 und Lifecycle Management Server
1.3 sind Sicherheitsupdates verfügbar.
Version 4 (12.02.2016):
Für die Distributionen Debian Jessie (stable) und Wheezy (oldstable)
stehen Sicherheitsupdates bereit.
Version 3 (10.02.2016):
Für Ubuntu 15.10 und Ubuntu 14.04 LTS stehen Sicherheitsupdates zur
Verfügung.
Version 2 (08.02.2016):
Für die Distribution openSUSE Leap 42.1 stehen Sicherheitsupdates auf die
nginx Version 1.8.1zur Verfügung.
Version 1 (29.01.2016):
Neues Advisory
Betroffene Software:
nginx [engine x] <= 1.8.0 nginx [engine x] <= 1.9.9 Betroffene Plattformen: SUSE Lifecycle Management Server 1.3 SUSE Studio Onsite 1.3 WebYaST 1.3 Canonical Ubuntu Linux 14.04 Lts Canonical Ubuntu Linux 15.10 Debian Linux 7.9 Wheezy Debian Linux 8.3 Jessie openSUSE Leap 42.1 Red Hat Fedora 22 Red Hat Fedora 23 Extra Packages for Red Hat Enterprise Linux 7 Es existieren mehrere Schwachstellen in nginx, die einem entfernten, nicht authentifizierten Angreifer das Durchführen von Denial-of-Service (DoS)-Angriffen ermöglichen. Die Probleme bestehen in den Versionen 0.6.18 bis 1.9.9 von nginx, wenn die 'resolver'-Direktive in einer Konfigurationsdatei verwendet wird. Ein Update auf nginx in den Versionen 1.8.1 und 1.9.10 behebt diese Schwachstellen. Fedora stellt für die Distributionen Fedora 22 und 23 mit den Paketen nginx-1.8.1-1.fc22 und nginx-1.8.1-1.fc23 Sicherheitsupdates im Status 'testing' zur Verfügung. Das Paket nginx-1.6.3-8.el7 steht als Sicherheitsupdate für Fedora EPEL 7 im Status 'pending' bereit. Patch: Fedora Update FEDORA-2016-bf03932bb3 (Fedora 22) https://bodhi.fedoraproject.org/updates/FEDORA-2016-bf03932bb3
Patch:
Fedora Update FEDORA-2016-fd3428577d (Fedora 23)
https://bodhi.fedoraproject.org/updates/FEDORA-2016-fd3428577d
Patch:
Fedora Update FEDORA-EPEL-2016-f17c082f00 (Fedora EPEL 7)
https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2016-f17c082f00
Patch:
nginx security advisory (CVE-2016-0742, CVE-2016-0746, CVE-2016-0747)
http://mailman.nginx.org/pipermail/nginx/2016-January/049700.html
Patch:
openSUSE Security Update openSUSE-SU-2016:0371-1
http://lists.opensuse.org/opensuse-updates/2016-02/msg00042.html
Patch:
Ubuntu Security Notice USN-2892-1
http://www.ubuntu.com/usn/usn-2892-1/
Patch:
Debian Security Advisory DSA-3473-1
https://www.debian.org/security/2016/dsa-3473
Patch:
SUSE Security Update SUSE-SU-2016:1232-1
https://www.suse.com/support/update/announcement/2016/suse-su-20161232-1.html
CVE-2016-0747: Schwachstelle in nginx ermöglicht Denial-of-Service-Angriff
Die Ressourcen zur Verarbeitung von ‘Canonical Name Record’-Antworten
(CNAME-Antworten) des DNS-Servers sind nicht ausreichend beschränkt. Ein
entfernter, nicht authentifizierter Angreifer, der in der Lage ist die
Namensauflösung der CNAME-Antwort auszulösen, kann exzessiv Ressourcen der
‘Worker’-Prozesse verbrauchen und so einen Denial-of-Service-Zustand
herbeiführen.
CVE-2016-0746: Schwachstelle in nginx ermöglicht Denial-of-Service-Angriff
Bei der Verarbeitung von ‘Canonical Name Record’-Antworten (CNAME-Antworten)
des DNS-Servers besteht die Möglichkeit der Nutzung bereits freigegebener
Speicherbereiche (Use-after-free). Ein entfernter, nicht authentifizierter
Angreifer, der in der Lage ist die Namensauflösung der CNAME-Antwort
auszulösen, kann den ‘Worker’-Prozess in einen Denial-of-Service-Zustand
bringen und darüber hinaus möglicherweise weitere Angriffe durchführen.
CVE-2016-0742: Schwachstelle in nginx ermöglicht Denial-of-Service-Angriff
Bei der Verarbeitung von Antworten eines DNS-Servers kommt es zur einer
falschen Zeiger-Dereferenzierung. Ein entfernter, nicht authentifizierter
Angreifer, der in der Lage ist UDP-Pakete des DNS-Servers zu fälschen, kann
so den ‘Worker’-Prozess in einen Denial-of-Service-Zustand bringen.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2016-0152/
Fedora Update FEDORA-2016-bf03932bb3 (Fedora 22):
https://bodhi.fedoraproject.org/updates/FEDORA-2016-bf03932bb3
Fedora Update FEDORA-2016-fd3428577d (Fedora 23):
https://bodhi.fedoraproject.org/updates/FEDORA-2016-fd3428577d
Fedora Update FEDORA-EPEL-2016-f17c082f00 (Fedora EPEL 7):
https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2016-f17c082f00
nginx security advisory (CVE-2016-0742, CVE-2016-0746, CVE-2016-0747):
http://mailman.nginx.org/pipermail/nginx/2016-January/049700.html
Schwachstelle CVE-2016-0742 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-0742
Schwachstelle CVE-2016-0746 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-0746
Schwachstelle CVE-2016-0747 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-0747
openSUSE Security Update openSUSE-SU-2016:0371-1 :
http://lists.opensuse.org/opensuse-updates/2016-02/msg00042.html
Ubuntu Security Notice USN-2892-1:
http://www.ubuntu.com/usn/usn-2892-1/
Debian Security Advisory DSA-3473-1:
https://www.debian.org/security/2016/dsa-3473
SUSE Security Update SUSE-SU-2016:1232-1:
https://www.suse.com/support/update/announcement/2016/suse-su-20161232-1.html
(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.
