UPDATE: DFN-CERT-2016-0895 GNU Lib C: Eine Schwachstelle ermöglicht einen Denial-of-Service-Angriff [Linux][Fedora][Netzwerk]

UPDATE: DFN-CERT-2016-0895 GNU Lib C: Eine Schwachstelle ermöglicht einen Denial-of-Service-Angriff [Linux][Fedora][Netzwerk]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 2 (28.07.2016):
F5 Networks informiert über eine Schwachstelle in verschiedenen Produkten,
die GNU Lib C verwenden. Unter anderem ist der problematische Programmcode
im BIG-IP Protocol Security Module (PSM) in den Versionen 10.2.1 – 10.2.4
und 11.4.0 – 11.4.1 enthalten. Die Schwachstelle kann laut F5 Networks in
empfohlenen Konfigurationen oder Standardinstallationen nicht ausgenutzt
werden. Es stehen keine Sicherheitsupdates zur Verfügung.
Version 1 (03.06.2016):
Neues Advisory

Betroffene Software:

GNU Lib C

Betroffene Plattformen:

F5 Networks BIG-IP Protocol Security Module (PSM) >= 10.2.1
F5 Networks BIG-IP Protocol Security Module (PSM) <= 10.2.4 F5 Networks BIG-IP Protocol Security Module (PSM) >= 11.4.0
F5 Networks BIG-IP Protocol Security Module (PSM) <= 11.4.1 Red Hat Fedora 23 Red Hat Fedora 24 Ein entfernter, nicht authentifizierter Angreifer kann eine Anwendung mit einer Flut von ICMP- und UDP-Paketen zum Absturz bringen und dadurch einen Denial-of-Service (DoS)-Zustand auslösen. Für Fedora 23 und 24 Sicherheitsupdates in Form der Pakete glibc-2.22-17.fc23 im Status 'pending' und glibc-2.23.1-8.fc24 im Status 'testing' bereit, um die Schwachstelle zu beheben. Nach Einspielen der Pakete wird ein Logout empfohlen. Patch: Fedora Security Update FEDORA-2016-3c5d606035 (Fedora 24) https://bodhi.fedoraproject.org/updates/FEDORA-2016-3c5d606035

Patch:

Fedora Security Update FEDORA-2016-b2dfb591cd (Fedora 23)

https://bodhi.fedoraproject.org/updates/FEDORA-2016-b2dfb591cd

CVE-2016-4429: Schwachstelle in GNU Lib C ermöglicht
Denial-of-Service-Angriff

Durch eine Schwachstelle in der Funktion ‘clntudp_call’ kann ein Überlauf
auf dem Stack ausgelöst werden, da ‘alloca’ innerhalb einer Schleife
aufgerufen wird.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2016-0895/

Schwachstelle CVE-2016-4429 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-4429

Fedora Security Update FEDORA-2016-3c5d606035 (Fedora 24):
https://bodhi.fedoraproject.org/updates/FEDORA-2016-3c5d606035

Fedora Security Update FEDORA-2016-b2dfb591cd (Fedora 23):
https://bodhi.fedoraproject.org/updates/FEDORA-2016-b2dfb591cd

F5 Networks Security Advisory sol17075474:
http://support.f5.com/kb/en-us/solutions/public/k/17/sol17075474.html?ref=rss

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben