UPDATE: DFN-CERT-2016-1270 Squid: Eine Schwachstelle ermöglicht das Ausführen beliebigen Programmcodes [Linux][RedHat]

UPDATE: DFN-CERT-2016-1270 Squid: Eine Schwachstelle ermöglicht das Ausführen beliebigen Programmcodes [Linux][RedHat]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 2 (05.08.2016):
Für Oracle Linux 6 stehen Sicherheitsupdates zur Behebung der
Schwachstelle bereit.
Version 1 (04.08.2016):
Neues Advisory

Betroffene Software:

Squid

Betroffene Plattformen:

Oracle Linux 6
Red Hat Enterprise Linux Server 6
Red Hat Enterprise Linux Workstation 6

Eine Schwachstellen in Squid ermöglicht einem entfernten, nicht
authentifizierten Angreifer die Durchführung eines Denial-of-Service
(DoS)-Angriffs und das Ausführen beliebigen Programmcodes.

Es wurde festgestellt, dass die mit RHSA-2016:1138-1 bereitgestellten
Sicherheitsupdates die ursprüngliche Schwachstelle CVE-2016-4051 nur
unzureichend behoben hatten, weshalb für Red Hat Enterprise Linux Server 6
und Workstation 6 jetzt neue Sicherheitsupdates zur Verfügung stehen.

Patch:

Red Hat Security Advisory RHSA-2016:1573

http://rhn.redhat.com/errata/RHSA-2016-1573.html

Patch:

Oracle Security Advisory ELSA-2016-1573

http://linux.oracle.com/errata/ELSA-2016-1573.html

CVE-2016-5408: Schwachstelle in Squid ermöglicht Ausführung beliebigen
Programmcodes

Ein Stack-Überlauf in der Funktion ‘munge_other_line()’ führt zu einem
Speicherüberlauf (Buffer Overflow) im ‘cachemgr.cgi’-Werkzeug in Squid ,
wodurch beliebiger Programmcode zur Ausführung gebracht oder ein
Denial-of-Service (DoS)-Zustand herbeigeführt werden kann. Diese
Schwachstelle existiert aufgrund einer unvollständigen Behebung von
CVE-2016-4051.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2016-1270/

Schwachstelle CVE-2016-5408 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-5408

Red Hat Security Advisory RHSA-2016:1573:
http://rhn.redhat.com/errata/RHSA-2016-1573.html

Oracle Security Advisory ELSA-2016-1573:
http://linux.oracle.com/errata/ELSA-2016-1573.html

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben