UPDATE: DFN-CERT-2016-1213 libarchive: Eine Schwachstelle ermöglicht einen Denial-of-Service-Angriff [Linux][Fedora]

UPDATE: DFN-CERT-2016-1213 libarchive: Eine Schwachstelle ermöglicht einen Denial-of-Service-Angriff [Linux][Fedora]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 2 (09.08.2016):
Für Fedora 24 stehen Sicherheitsupdates in Form der Pakete
‘mingw-libarchive-3.2.1-2.fc24’ sowie ‘mingw-xz-5.2.2-3.fc24’ im Status
‘testing’ bereit.
Version 1 (29.07.2016):
Neues Advisory

Betroffene Software:

libarchive < 3.2.1 Betroffene Plattformen: Red Hat Fedora 24 Extra Packages for Red Hat Enterprise Linux 6 Eine Schwachstelle in libarchive ermöglicht einem entfernten, nicht authentifizierten Angreifer mit Hilfe speziell präparierter Dateien einen Denial-of-Service (DoS)-Angriff durchzuführen. Für Fedora EPEL 6 steht ein Sicherheitsupdate für libarchive in der Version 3.2.1 im Status 'testing' bereit. Patch: Fedora Security Update FEDORA-EPEL-2016-d8fc3f17ea (Fedora EPEL 6, libarchive3-3.2.1) https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2016-d8fc3f17ea

Patch:

Fedora Security Update FEDORA-2016-472cdecb18 (Fedora 24,
mingw-libarchive-3.2.1)

https://bodhi.fedoraproject.org/updates/FEDORA-2016-472cdecb18

CVE-2016-6250: Schwachstelle in libarchive ermöglicht
Denial-of-Service-Angriff

In libarchive kann es bei der Überprüfung von Dateinamengrößen, die auf ein
ISO9660 Volume geschrieben werden sollen, zu einem Ganzzahlüberlauf (Integer
Overflow) kommen. Beim Versuch Dateinamen von 2GB oder 4GB in den ISO9660
Container zu schreiben, kommt es zu einem Pufferspeicherüberlauf (Buffer
Overflow) und in der Folge zu einem Absturz der Anwendung.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2016-1213/

Schwachstelle CVE-2016-6250 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-6250

Fedora Security Update FEDORA-EPEL-2016-d8fc3f17ea (Fedora EPEL 6,
libarchive3-3.2.1):
https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2016-d8fc3f17ea

Fedora Security Update FEDORA-2016-472cdecb18 (Fedora 24,
mingw-libarchive-3.2.1):
https://bodhi.fedoraproject.org/updates/FEDORA-2016-472cdecb18

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben