Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 7 (10.08.2016):
Für SUSE OpenStack Cloud 5, SUSE Manager Proxy 2.1, SUSE Manager 2.1, SUSE
Linux Enterprise Software Development Kit 11-SP4, SUSE Linux Enterprise
Server 11-SP4 / 11-SP3-LTSS und SUSE Linux Enterprise Debuginfo 11-SP4 /
11-SP3 stehen Sicherheitsupdates bereit.
Version 6 (21.07.2016):
Für openSUSE Leap 42.1 steht ein Sicherheitsupdate bereit.
Version 5 (13.07.2016):
Für SUSE Linux Enterprise Software Development Kit 12 SP1, Server 12 SP1
und Desktop 12 SP1 stehen Sicherheitsupdates bereit.
Version 4 (05.07.2016):
Für den SUSE Linux Enterprise Server in der Version 11 SP2 LTSS steht ein
Sicherheitsupdate zur Behebung der Schwachstelle bereit.
Version 3 (28.06.2016):
Für SUSE Linux Enterprise Software Development Kit 12, Server 12 und
Desktop 12 stehen Backport-Sicherheitsupdates bereit.
Version 2 (03.05.2016):
Für Fedora 22, 23 und 24 stehen Sicherheitsupdates in Form der Pakete
dhcp-4.3.2-8.fc22, dhcp-4.3.3-9.P1.fc23 und dhcp-4.3.4-1.fc24 (neues
Upstream-Release) im Status ‘testing’ (Fedora 22, 23) bzw. ‘pending’
(Fedora 24) zur Verfügung, um die Schwachstelle zu beheben.
Version 1 (08.03.2016):
Neues Advisory

Betroffene Software:

ISC DHCP <= 4.1-ESV-R12-P1 ISC DHCP >= 4.1.0
ISC DHCP >= 4.2.0
ISC DHCP <= 4.2.8 ISC DHCP >= 4.3.0
ISC DHCP <= 4.3.3-P1 Betroffene Plattformen: SUSE Linux Enterprise Debuginfo 11 SP3 SUSE Linux Enterprise Debuginfo 11 SP4 SUSE Linux Enterprise Software Development Kit 11 SP4 SUSE Linux Enterprise Software Development Kit 12 SUSE Linux Enterprise Software Development Kit 12 SP1 GNU/Linux openSUSE Leap 42.1 SUSE Linux Enterprise Desktop 12 SUSE Linux Enterprise Desktop 12 SP1 SUSE Linux Enterprise Server 11 SP2 LTSS SUSE Linux Enterprise Server 11 SP3 LTSS SUSE Linux Enterprise Server 11 SP4 SUSE Linux Enterprise Server 12 SUSE Linux Enterprise Server 12 SP1 Red Hat Fedora 22 Red Hat Fedora 23 Red Hat Fedora 24 Ein nicht authentifizierter Angreifer im benachbarten Netzwerk kann eine große Zahl an TCP-Verbindungen zum ISC DHCP Server aufbauen, was zu einem Denial-of-Service-Zustand (DoS) führen kann. Der Hersteller plant die Bereitstellung der Programmversionen DHCP 4.1-ESV-R13 sowie DHCP 4.3.4 als Maintenance Release, die Programmcode zur Minderung der Schwachstelle beinhalten. Darüber hinaus weist der Hersteller darauf hin, dass das Risiko der Ausnutzung dieser Schwachstelle auf dem Object Management Application Programming Interface Port (OMAPI-Port) am höchsten ist. Die Auswirkungen der Schwachstelle können durch verschiedene Workarounds verhindert werden. Workaround: ISC empfiehlt die Beschränkung von TCP-Verbindungen zur Kontrolle von Prozessen und zur Kommunikation zwischen Prozessen auf vertrauenswürdige Hosts sowie die Sperrung von Verbindungen zum OMAPI-Port und zu den Ports, die für Failover-Kommunikation verwendet werden. Die OMAPI- und Failover-Funktionalitäten können einzeln abgeschaltet werden. Eine Auswirkung der Schwachstelle, bei der ein INSIST-Zusicherungsfehler ausgelöst wird, kann durch die Verwendung von 'ulimit' zum Setzen der maximalen Anzahl gleichzeitiger Socket-Verbindungen verhindert werden. Patch: Fedora Security Update FEDORA-2016-3e64b32a91 (Fedora 22, dhcp-4.3.2) https://bodhi.fedoraproject.org/updates/FEDORA-2016-3e64b32a91

Patch:

Fedora Security Update FEDORA-2016-821f013cb1 (Fedora 24, dhcp-4.3.4)

https://bodhi.fedoraproject.org/updates/FEDORA-2016-821f013cb1

Patch:

Fedora Security Update FEDORA-2016-c93d49faf3 (Fedora 23, dhcp-4.3.3)

https://bodhi.fedoraproject.org/updates/FEDORA-2016-c93d49faf3

Patch:

SUSE Security Update SUSE-SU-2016:1692-1

http://lists.suse.com/pipermail/sle-security-updates/2016-June/002138.html

Patch:

SUSE Security Update SUSE-SU-2016:1735-1

http://lists.suse.com/pipermail/sle-security-updates/2016-July/002148.html

Patch:

SUSE Security Update SUSE-SU-2016:1791-1

http://lists.suse.com/pipermail/sle-security-updates/2016-July/002155.html

Patch:

openSUSE Security Update openSUSE-SU-2016:1843-1

http://lists.opensuse.org/opensuse-updates/2016-07/msg00066.html

Patch:

SUSE Security Update SUSE-SU-2016:2024-1

http://lists.suse.com/pipermail/sle-security-updates/2016-August/002204.html

CVE-2016-2774: Schwachstelle in ISC DHCP ermöglicht
Denial-of-Service-Angriff

Die Anzahl an gleichzeitig offenen TCP-Verbindungen zu Ports, die der ISC
DHCP-Server zur Kontrolle von Prozessen und zur Kommunikation zwischen
Prozessen nutzt, ist nicht beschränkt.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2016-0402/

ISC Knowledge Base Artikel ISC-DHCP-AA-01354:
https://kb.isc.org/article/AA-01354/75/CVE-2016-2774%3A-An-attacker-who-is-allowed-to-connect-to-DHCP-inter-server-communications-and-control-channels-can-exhaust-server-resources.html

Schwachstelle CVE-2016-2774 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-2774

Fedora Security Update FEDORA-2016-3e64b32a91 (Fedora 22, dhcp-4.3.2):
https://bodhi.fedoraproject.org/updates/FEDORA-2016-3e64b32a91

Fedora Security Update FEDORA-2016-821f013cb1 (Fedora 24, dhcp-4.3.4):
https://bodhi.fedoraproject.org/updates/FEDORA-2016-821f013cb1

Fedora Security Update FEDORA-2016-c93d49faf3 (Fedora 23, dhcp-4.3.3):
https://bodhi.fedoraproject.org/updates/FEDORA-2016-c93d49faf3

SUSE Security Update SUSE-SU-2016:1692-1:
http://lists.suse.com/pipermail/sle-security-updates/2016-June/002138.html

SUSE Security Update SUSE-SU-2016:1735-1:
http://lists.suse.com/pipermail/sle-security-updates/2016-July/002148.html

SUSE Security Update SUSE-SU-2016:1791-1:
http://lists.suse.com/pipermail/sle-security-updates/2016-July/002155.html

openSUSE Security Update openSUSE-SU-2016:1843-1:
http://lists.opensuse.org/opensuse-updates/2016-07/msg00066.html

SUSE Security Update SUSE-SU-2016:2024-1:
http://lists.suse.com/pipermail/sle-security-updates/2016-August/002204.html

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 6 (21.07.2016):
Für openSUSE Leap 42.1 steht ein Sicherheitsupdate bereit.
Version 5 (13.07.2016):
Für SUSE Linux Enterprise Software Development Kit 12 SP1, Server 12 SP1
und Desktop 12 SP1 stehen Sicherheitsupdates bereit.
Version 4 (05.07.2016):
Für den SUSE Linux Enterprise Server in der Version 11 SP2 LTSS steht ein
Sicherheitsupdate zur Behebung der Schwachstelle bereit.
Version 3 (28.06.2016):
Für SUSE Linux Enterprise Software Development Kit 12, Server 12 und
Desktop 12 stehen Backport-Sicherheitsupdates bereit.
Version 2 (03.05.2016):
Für Fedora 22, 23 und 24 stehen Sicherheitsupdates in Form der Pakete
dhcp-4.3.2-8.fc22, dhcp-4.3.3-9.P1.fc23 und dhcp-4.3.4-1.fc24 (neues
Upstream-Release) im Status ‘testing’ (Fedora 22, 23) bzw. ‘pending’
(Fedora 24) zur Verfügung, um die Schwachstelle zu beheben.
Version 1 (08.03.2016):
Neues Advisory

Betroffene Software:

ISC DHCP <= 4.1-ESV-R12-P1 ISC DHCP >= 4.1.0
ISC DHCP >= 4.2.0
ISC DHCP <= 4.2.8 ISC DHCP >= 4.3.0
ISC DHCP <= 4.3.3-P1 Betroffene Plattformen: SUSE Linux Enterprise Software Development Kit 12 SUSE Linux Enterprise Software Development Kit 12 SP1 GNU/Linux openSUSE Leap 42.1 SUSE Linux Enterprise Desktop 12 SUSE Linux Enterprise Desktop 12 SP1 SUSE Linux Enterprise Server 11 SP2 LTSS SUSE Linux Enterprise Server 12 SUSE Linux Enterprise Server 12 SP1 Red Hat Fedora 22 Red Hat Fedora 23 Red Hat Fedora 24 Ein nicht authentifizierter Angreifer im benachbarten Netzwerk kann eine große Zahl an TCP-Verbindungen zum ISC DHCP Server aufbauen, was zu einem Denial-of-Service-Zustand (DoS) führen kann. Der Hersteller plant die Bereitstellung der Programmversionen DHCP 4.1-ESV-R13 sowie DHCP 4.3.4 als Maintenance Release, die Programmcode zur Minderung der Schwachstelle beinhalten. Darüber hinaus weist der Hersteller darauf hin, dass das Risiko der Ausnutzung dieser Schwachstelle auf dem Object Management Application Programming Interface Port (OMAPI-Port) am höchsten ist. Die Auswirkungen der Schwachstelle können durch verschiedene Workarounds verhindert werden. Workaround: ISC empfiehlt die Beschränkung von TCP-Verbindungen zur Kontrolle von Prozessen und zur Kommunikation zwischen Prozessen auf vertrauenswürdige Hosts sowie die Sperrung von Verbindungen zum OMAPI-Port und zu den Ports, die für Failover-Kommunikation verwendet werden. Die OMAPI- und Failover-Funktionalitäten können einzeln abgeschaltet werden. Eine Auswirkung der Schwachstelle, bei der ein INSIST-Zusicherungsfehler ausgelöst wird, kann durch die Verwendung von 'ulimit' zum Setzen der maximalen Anzahl gleichzeitiger Socket-Verbindungen verhindert werden. Patch: Fedora Security Update FEDORA-2016-3e64b32a91 (Fedora 22, dhcp-4.3.2) https://bodhi.fedoraproject.org/updates/FEDORA-2016-3e64b32a91

Patch:

Fedora Security Update FEDORA-2016-821f013cb1 (Fedora 24, dhcp-4.3.4)

https://bodhi.fedoraproject.org/updates/FEDORA-2016-821f013cb1

Patch:

Fedora Security Update FEDORA-2016-c93d49faf3 (Fedora 23, dhcp-4.3.3)

https://bodhi.fedoraproject.org/updates/FEDORA-2016-c93d49faf3

Patch:

SUSE Security Update SUSE-SU-2016:1692-1

http://lists.suse.com/pipermail/sle-security-updates/2016-June/002138.html

Patch:

SUSE Security Update SUSE-SU-2016:1735-1

http://lists.suse.com/pipermail/sle-security-updates/2016-July/002148.html

Patch:

SUSE Security Update SUSE-SU-2016:1791-1

http://lists.suse.com/pipermail/sle-security-updates/2016-July/002155.html

Patch:

openSUSE Security Update openSUSE-SU-2016:1843-1

http://lists.opensuse.org/opensuse-updates/2016-07/msg00066.html

CVE-2016-2774: Schwachstelle in ISC DHCP ermöglicht
Denial-of-Service-Angriff

Die Anzahl an gleichzeitig offenen TCP-Verbindungen zu Ports, die der ISC
DHCP-Server zur Kontrolle von Prozessen und zur Kommunikation zwischen
Prozessen nutzt, ist nicht beschränkt.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2016-0402/

ISC Knowledge Base Artikel ISC-DHCP-AA-01354:
https://kb.isc.org/article/AA-01354/75/CVE-2016-2774%3A-An-attacker-who-is-allowed-to-connect-to-DHCP-inter-server-communications-and-control-channels-can-exhaust-server-resources.html

Schwachstelle CVE-2016-2774 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-2774

Fedora Security Update FEDORA-2016-3e64b32a91 (Fedora 22, dhcp-4.3.2):
https://bodhi.fedoraproject.org/updates/FEDORA-2016-3e64b32a91

Fedora Security Update FEDORA-2016-821f013cb1 (Fedora 24, dhcp-4.3.4):
https://bodhi.fedoraproject.org/updates/FEDORA-2016-821f013cb1

Fedora Security Update FEDORA-2016-c93d49faf3 (Fedora 23, dhcp-4.3.3):
https://bodhi.fedoraproject.org/updates/FEDORA-2016-c93d49faf3

SUSE Security Update SUSE-SU-2016:1692-1:
http://lists.suse.com/pipermail/sle-security-updates/2016-June/002138.html

SUSE Security Update SUSE-SU-2016:1735-1:
http://lists.suse.com/pipermail/sle-security-updates/2016-July/002148.html

SUSE Security Update SUSE-SU-2016:1791-1:
http://lists.suse.com/pipermail/sle-security-updates/2016-July/002155.html

openSUSE Security Update openSUSE-SU-2016:1843-1:
http://lists.opensuse.org/opensuse-updates/2016-07/msg00066.html

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 5 (13.07.2016):
Für SUSE Linux Enterprise Software Development Kit 12 SP1, Server 12 SP1
und Desktop 12 SP1 stehen Sicherheitsupdates bereit.
Version 4 (05.07.2016):
Für den SUSE Linux Enterprise Server in der Version 11 SP2 LTSS steht ein
Sicherheitsupdate zur Behebung der Schwachstelle bereit.
Version 3 (28.06.2016):
Für SUSE Linux Enterprise Software Development Kit 12, Server 12 und
Desktop 12 stehen Backport-Sicherheitsupdates bereit.
Version 2 (03.05.2016):
Für Fedora 22, 23 und 24 stehen Sicherheitsupdates in Form der Pakete
dhcp-4.3.2-8.fc22, dhcp-4.3.3-9.P1.fc23 und dhcp-4.3.4-1.fc24 (neues
Upstream-Release) im Status ‘testing’ (Fedora 22, 23) bzw. ‘pending’
(Fedora 24) zur Verfügung, um die Schwachstelle zu beheben.
Version 1 (08.03.2016):
Neues Advisory

Betroffene Software:

ISC DHCP <= 4.1-ESV-R12-P1 ISC DHCP >= 4.1.0
ISC DHCP >= 4.2.0
ISC DHCP <= 4.2.8 ISC DHCP >= 4.3.0
ISC DHCP <= 4.3.3-P1 Betroffene Plattformen: SUSE Linux Enterprise Software Development Kit 12 SUSE Linux Enterprise Software Development Kit 12 SP1 GNU/Linux SUSE Linux Enterprise Desktop 12 SUSE Linux Enterprise Desktop 12 SP1 SUSE Linux Enterprise Server 11 SP2 LTSS SUSE Linux Enterprise Server 12 SUSE Linux Enterprise Server 12 SP1 Red Hat Fedora 22 Red Hat Fedora 23 Red Hat Fedora 24 Ein nicht authentifizierter Angreifer im benachbarten Netzwerk kann eine große Zahl an TCP-Verbindungen zum ISC DHCP Server aufbauen, was zu einem Denial-of-Service-Zustand (DoS) führen kann. Der Hersteller plant die Bereitstellung der Programmversionen DHCP 4.1-ESV-R13 sowie DHCP 4.3.4 als Maintenance Release, die Programmcode zur Minderung der Schwachstelle beinhalten. Darüber hinaus weist der Hersteller darauf hin, dass das Risiko der Ausnutzung dieser Schwachstelle auf dem Object Management Application Programming Interface Port (OMAPI-Port) am höchsten ist. Die Auswirkungen der Schwachstelle können durch verschiedene Workarounds verhindert werden. Workaround: ISC empfiehlt die Beschränkung von TCP-Verbindungen zur Kontrolle von Prozessen und zur Kommunikation zwischen Prozessen auf vertrauenswürdige Hosts sowie die Sperrung von Verbindungen zum OMAPI-Port und zu den Ports, die für Failover-Kommunikation verwendet werden. Die OMAPI- und Failover-Funktionalitäten können einzeln abgeschaltet werden. Eine Auswirkung der Schwachstelle, bei der ein INSIST-Zusicherungsfehler ausgelöst wird, kann durch die Verwendung von 'ulimit' zum Setzen der maximalen Anzahl gleichzeitiger Socket-Verbindungen verhindert werden. Patch: Fedora Security Update FEDORA-2016-3e64b32a91 (Fedora 22, dhcp-4.3.2) https://bodhi.fedoraproject.org/updates/FEDORA-2016-3e64b32a91

Patch:

Fedora Security Update FEDORA-2016-821f013cb1 (Fedora 24, dhcp-4.3.4)

https://bodhi.fedoraproject.org/updates/FEDORA-2016-821f013cb1

Patch:

Fedora Security Update FEDORA-2016-c93d49faf3 (Fedora 23, dhcp-4.3.3)

https://bodhi.fedoraproject.org/updates/FEDORA-2016-c93d49faf3

Patch:

SUSE Security Update SUSE-SU-2016:1692-1

http://lists.suse.com/pipermail/sle-security-updates/2016-June/002138.html

Patch:

SUSE Security Update SUSE-SU-2016:1735-1

http://lists.suse.com/pipermail/sle-security-updates/2016-July/002148.html

Patch:

SUSE Security Update SUSE-SU-2016:1791-1

http://lists.suse.com/pipermail/sle-security-updates/2016-July/002155.html

CVE-2016-2774: Schwachstelle in ISC DHCP ermöglicht
Denial-of-Service-Angriff

Die Anzahl an gleichzeitig offenen TCP-Verbindungen zu Ports, die der ISC
DHCP-Server zur Kontrolle von Prozessen und zur Kommunikation zwischen
Prozessen nutzt, ist nicht beschränkt.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2016-0402/

ISC Knowledge Base Artikel ISC-DHCP-AA-01354:
https://kb.isc.org/article/AA-01354/75/CVE-2016-2774%3A-An-attacker-who-is-allowed-to-connect-to-DHCP-inter-server-communications-and-control-channels-can-exhaust-server-resources.html

Schwachstelle CVE-2016-2774 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-2774

Fedora Security Update FEDORA-2016-3e64b32a91 (Fedora 22, dhcp-4.3.2):
https://bodhi.fedoraproject.org/updates/FEDORA-2016-3e64b32a91

Fedora Security Update FEDORA-2016-821f013cb1 (Fedora 24, dhcp-4.3.4):
https://bodhi.fedoraproject.org/updates/FEDORA-2016-821f013cb1

Fedora Security Update FEDORA-2016-c93d49faf3 (Fedora 23, dhcp-4.3.3):
https://bodhi.fedoraproject.org/updates/FEDORA-2016-c93d49faf3

SUSE Security Update SUSE-SU-2016:1692-1:
http://lists.suse.com/pipermail/sle-security-updates/2016-June/002138.html

SUSE Security Update SUSE-SU-2016:1735-1:
http://lists.suse.com/pipermail/sle-security-updates/2016-July/002148.html

SUSE Security Update SUSE-SU-2016:1791-1:
http://lists.suse.com/pipermail/sle-security-updates/2016-July/002155.html

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 4 (05.07.2016):
Für den SUSE Linux Enterprise Server in der Version 11 SP2 LTSS steht ein
Sicherheitsupdate zur Behebung der Schwachstelle bereit.
Version 3 (28.06.2016):
Für SUSE Linux Enterprise Software Development Kit 12, Server 12 und
Desktop 12 stehen Backport-Sicherheitsupdates bereit.
Version 2 (03.05.2016):
Für Fedora 22, 23 und 24 stehen Sicherheitsupdates in Form der Pakete
dhcp-4.3.2-8.fc22, dhcp-4.3.3-9.P1.fc23 und dhcp-4.3.4-1.fc24 (neues
Upstream-Release) im Status ‘testing’ (Fedora 22, 23) bzw. ‘pending’
(Fedora 24) zur Verfügung, um die Schwachstelle zu beheben.
Version 1 (08.03.2016):
Neues Advisory

Betroffene Software:

ISC DHCP <= 4.1-ESV-R12-P1 ISC DHCP >= 4.1.0
ISC DHCP >= 4.2.0
ISC DHCP <= 4.2.8 ISC DHCP >= 4.3.0
ISC DHCP <= 4.3.3-P1 Betroffene Plattformen: SUSE Linux Enterprise Software Development Kit 12 GNU/Linux SUSE Linux Enterprise Desktop 12 SUSE Linux Enterprise Server 11 SP2 LTSS SUSE Linux Enterprise Server 12 Red Hat Fedora 22 Red Hat Fedora 23 Red Hat Fedora 24 Ein nicht authentifizierter Angreifer im benachbarten Netzwerk kann eine große Zahl an TCP-Verbindungen zum ISC DHCP Server aufbauen, was zu einem Denial-of-Service-Zustand (DoS) führen kann. Der Hersteller plant die Bereitstellung der Programmversionen DHCP 4.1-ESV-R13 sowie DHCP 4.3.4 als Maintenance Release, die Programmcode zur Minderung der Schwachstelle beinhalten. Darüber hinaus weist der Hersteller darauf hin, dass das Risiko der Ausnutzung dieser Schwachstelle auf dem Object Management Application Programming Interface Port (OMAPI-Port) am höchsten ist. Die Auswirkungen der Schwachstelle können durch verschiedene Workarounds verhindert werden. Workaround: ISC empfiehlt die Beschränkung von TCP-Verbindungen zur Kontrolle von Prozessen und zur Kommunikation zwischen Prozessen auf vertrauenswürdige Hosts sowie die Sperrung von Verbindungen zum OMAPI-Port und zu den Ports, die für Failover-Kommunikation verwendet werden. Die OMAPI- und Failover-Funktionalitäten können einzeln abgeschaltet werden. Eine Auswirkung der Schwachstelle, bei der ein INSIST-Zusicherungsfehler ausgelöst wird, kann durch die Verwendung von 'ulimit' zum Setzen der maximalen Anzahl gleichzeitiger Socket-Verbindungen verhindert werden. Patch: Fedora Security Update FEDORA-2016-3e64b32a91 (Fedora 22, dhcp-4.3.2) https://bodhi.fedoraproject.org/updates/FEDORA-2016-3e64b32a91

Patch:

Fedora Security Update FEDORA-2016-821f013cb1 (Fedora 24, dhcp-4.3.4)

https://bodhi.fedoraproject.org/updates/FEDORA-2016-821f013cb1

Patch:

Fedora Security Update FEDORA-2016-c93d49faf3 (Fedora 23, dhcp-4.3.3)

https://bodhi.fedoraproject.org/updates/FEDORA-2016-c93d49faf3

Patch:

SUSE Security Update SUSE-SU-2016:1692-1

http://lists.suse.com/pipermail/sle-security-updates/2016-June/002138.html

Patch:

SUSE Security Update SUSE-SU-2016:1735-1

http://lists.suse.com/pipermail/sle-security-updates/2016-July/002148.html

CVE-2016-2774: Schwachstelle in ISC DHCP ermöglicht
Denial-of-Service-Angriff

Die Anzahl an gleichzeitig offenen TCP-Verbindungen zu Ports, die der ISC
DHCP-Server zur Kontrolle von Prozessen und zur Kommunikation zwischen
Prozessen nutzt, ist nicht beschränkt.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2016-0402/

ISC Knowledge Base Artikel ISC-DHCP-AA-01354:
https://kb.isc.org/article/AA-01354/75/CVE-2016-2774%3A-An-attacker-who-is-allowed-to-connect-to-DHCP-inter-server-communications-and-control-channels-can-exhaust-server-resources.html

Schwachstelle CVE-2016-2774 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-2774

Fedora Security Update FEDORA-2016-3e64b32a91 (Fedora 22, dhcp-4.3.2):
https://bodhi.fedoraproject.org/updates/FEDORA-2016-3e64b32a91

Fedora Security Update FEDORA-2016-821f013cb1 (Fedora 24, dhcp-4.3.4):
https://bodhi.fedoraproject.org/updates/FEDORA-2016-821f013cb1

Fedora Security Update FEDORA-2016-c93d49faf3 (Fedora 23, dhcp-4.3.3):
https://bodhi.fedoraproject.org/updates/FEDORA-2016-c93d49faf3

SUSE Security Update SUSE-SU-2016:1692-1:
http://lists.suse.com/pipermail/sle-security-updates/2016-June/002138.html

SUSE Security Update SUSE-SU-2016:1735-1:
http://lists.suse.com/pipermail/sle-security-updates/2016-July/002148.html

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 3 (28.06.2016):
Für SUSE Linux Enterprise Software Development Kit 12, Server 12 und
Desktop 12 stehen Backport-Sicherheitsupdates bereit.
Version 2 (03.05.2016):
Für Fedora 22, 23 und 24 stehen Sicherheitsupdates in Form der Pakete
dhcp-4.3.2-8.fc22, dhcp-4.3.3-9.P1.fc23 und dhcp-4.3.4-1.fc24 (neues
Upstream-Release) im Status ‘testing’ (Fedora 22, 23) bzw. ‘pending’
(Fedora 24) zur Verfügung, um die Schwachstelle zu beheben.
Version 1 (08.03.2016):
Neues Advisory

Betroffene Software:

ISC DHCP <= 4.1-ESV-R12-P1 ISC DHCP >= 4.1.0
ISC DHCP >= 4.2.0
ISC DHCP <= 4.2.8 ISC DHCP >= 4.3.0
ISC DHCP <= 4.3.3-P1 Betroffene Plattformen: SUSE Linux Enterprise Software Development Kit 12 GNU/Linux SUSE Linux Enterprise Desktop 12 SUSE Linux Enterprise Server 12 Red Hat Fedora 22 Red Hat Fedora 23 Red Hat Fedora 24 Ein nicht authentifizierter Angreifer im benachbarten Netzwerk kann eine große Zahl an TCP-Verbindungen zum ISC DHCP Server aufbauen, was zu einem Denial-of-Service-Zustand (DoS) führen kann. Der Hersteller plant die Bereitstellung der Programmversionen DHCP 4.1-ESV-R13 sowie DHCP 4.3.4 als Maintenance Release, die Programmcode zur Minderung der Schwachstelle beinhalten. Darüber hinaus weist der Hersteller darauf hin, dass das Risiko der Ausnutzung dieser Schwachstelle auf dem Object Management Application Programming Interface Port (OMAPI-Port) am höchsten ist. Die Auswirkungen der Schwachstelle können durch verschiedene Workarounds verhindert werden. Workaround: ISC empfiehlt die Beschränkung von TCP-Verbindungen zur Kontrolle von Prozessen und zur Kommunikation zwischen Prozessen auf vertrauenswürdige Hosts sowie die Sperrung von Verbindungen zum OMAPI-Port und zu den Ports, die für Failover-Kommunikation verwendet werden. Die OMAPI- und Failover-Funktionalitäten können einzeln abgeschaltet werden. Eine Auswirkung der Schwachstelle, bei der ein INSIST-Zusicherungsfehler ausgelöst wird, kann durch die Verwendung von 'ulimit' zum Setzen der maximalen Anzahl gleichzeitiger Socket-Verbindungen verhindert werden. Patch: Fedora Security Update FEDORA-2016-3e64b32a91 (Fedora 22, dhcp-4.3.2) https://bodhi.fedoraproject.org/updates/FEDORA-2016-3e64b32a91

Patch:

Fedora Security Update FEDORA-2016-821f013cb1 (Fedora 24, dhcp-4.3.4)

https://bodhi.fedoraproject.org/updates/FEDORA-2016-821f013cb1

Patch:

Fedora Security Update FEDORA-2016-c93d49faf3 (Fedora 23, dhcp-4.3.3)

https://bodhi.fedoraproject.org/updates/FEDORA-2016-c93d49faf3

Patch:

SUSE Security Update SUSE-SU-2016:1692-1

http://lists.suse.com/pipermail/sle-security-updates/2016-June/002138.html

CVE-2016-2774: Schwachstelle in ISC DHCP ermöglicht
Denial-of-Service-Angriff

Die Anzahl an gleichzeitig offenen TCP-Verbindungen zu Ports, die der ISC
DHCP-Server zur Kontrolle von Prozessen und zur Kommunikation zwischen
Prozessen nutzt, ist nicht beschränkt.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2016-0402/

ISC Knowledge Base Artikel ISC-DHCP-AA-01354:
https://kb.isc.org/article/AA-01354/75/CVE-2016-2774%3A-An-attacker-who-is-allowed-to-connect-to-DHCP-inter-server-communications-and-control-channels-can-exhaust-server-resources.html

Schwachstelle CVE-2016-2774 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-2774

Fedora Security Update FEDORA-2016-3e64b32a91 (Fedora 22, dhcp-4.3.2):
https://bodhi.fedoraproject.org/updates/FEDORA-2016-3e64b32a91

Fedora Security Update FEDORA-2016-821f013cb1 (Fedora 24, dhcp-4.3.4):
https://bodhi.fedoraproject.org/updates/FEDORA-2016-821f013cb1

Fedora Security Update FEDORA-2016-c93d49faf3 (Fedora 23, dhcp-4.3.3):
https://bodhi.fedoraproject.org/updates/FEDORA-2016-c93d49faf3

SUSE Security Update SUSE-SU-2016:1692-1:
http://lists.suse.com/pipermail/sle-security-updates/2016-June/002138.html

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.