DFN-CERT-2016-0769 GnuPG Libksba: Mehrere Schwachstellen ermöglichen u.a. das Ausführen beliebigen Programmcodes [Linux][Fedora]

DFN-CERT-2016-0769 GnuPG Libksba: Mehrere Schwachstellen ermöglichen u.a. das Ausführen beliebigen Programmcodes [Linux][Fedora]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

GnuPG Libksba <= 1.3.3 Betroffene Plattformen: Red Hat Fedora 22 Red Hat Fedora 23 Red Hat Fedora 24 Mehrere Schwachstellen in Libksba ermöglichen einem entfernten, nicht authentifizierten Angreifer das Durchführen von Denial-of-Service-Angriffen und potenziell auch das Ausführen beliebigen Programmcodes. Die Schwachstelle CVE-2016-4574 besteht aufgrund eines unvollständigen Fixes für CVE-2016-4356. Für Fedora 22, 23 und 24 stehen Sicherheitsupdates für Libksba auf die Version 1.3.4 im Status 'testing' bereit. Patch: Fedora Security Update FEDORA-2016-1bcec8b80d (Fedora 24) https://bodhi.fedoraproject.org/updates/FEDORA-2016-1bcec8b80d

Patch:

Fedora Security Update FEDORA-2016-28a56c76c1 (Fedora 22)

https://bodhi.fedoraproject.org/updates/FEDORA-2016-28a56c76c1

Patch:

Fedora Security Update FEDORA-2016-fd26f713e7 (Fedora 23)

https://bodhi.fedoraproject.org/updates/FEDORA-2016-fd26f713e7

CVE-2016-4579: Schwachstelle in Libksba ermöglicht Denial-of-Service-Angriff

Es existiert eine Schwachstelle in der Bibliothek libksba, die aufgrund
einer fehlerhaften Überprüfung von Objekt- zu Puffergrößen in
‘_ksba_ber_parse_tl’ besteht. Dadurch ist es möglich, lesend auf Speicher
außerhalb des zulässigen Bereich zuzugreifen (Out-of-bound read) und einen
Speicherfehler zu verursachen, der einen Denial-of-Service-Zustand zur Folge
hat. Ein entfernter, nicht authentifizierter Angreifer kann einen
Denial-of-Service-Angriff durchführen.

CVE-2016-4574: Schwachstelle in Libksba ermöglicht Denial-of-Service-Angriff

Es existiert eine Schwachstelle in der Bibliothek libksba in
‘_ksba_dn_to_str’ , die aufgrund einer unvollständigen Behebung der
Schwachstelle CVE-2016-4356 besteht und einen Off-by-one-Fehler verursacht.
Ein entfernter, nicht authentifizierter Angreifer ist dadurch in der Lage,
einen Denial-of-Service-Angriff durchzuführen und möglicherweise auch
beliebigen Programmcode auszuführen.

CVE-2016-4356: Schwachstelle in Libksba ermöglicht Denial-of-Service-Angriff

Es existiert eine Schwachstelle in der Bibliothek libksba in src/dn.c
aufgrund der fehlerhaften Verarbeitung von ungültigen UTF8-Zeichenketten
Dadurch ist es möglich, lesend auf Speicher außerhalb des zulässigen
Bereichs zuzugreifen (Out-of-bounds Read) und einen Speicherfehler zu
verursachen. Ein entfernter, nicht authentifizierter Angreifer ist dadurch
in der Lage, einen Denial-of-Service-Angriff durchzuführen und
möglicherweise auch beliebigen Programmcode auszuführen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2016-0769/

Schwachstelle CVE-2016-4356 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-4356

Schwachstelle CVE-2016-4574 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-4574

Fedora Security Update FEDORA-2016-1bcec8b80d (Fedora 24):
https://bodhi.fedoraproject.org/updates/FEDORA-2016-1bcec8b80d

Fedora Security Update FEDORA-2016-28a56c76c1 (Fedora 22):
https://bodhi.fedoraproject.org/updates/FEDORA-2016-28a56c76c1

Fedora Security Update FEDORA-2016-fd26f713e7 (Fedora 23):
https://bodhi.fedoraproject.org/updates/FEDORA-2016-fd26f713e7

Schwachstelle CVE-2016-4579 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-4579

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben