Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

dhcpcd < 6.9.1 Betroffene Plattformen: Red Hat Fedora 23 Ein entfernter, nicht authentisierter Angreifer mit Kontrolle über einen DHCP Server kann die Schwachstelle durch Senden überlanger DHCPACK-Nachrichten dazu ausnutzen, 'dhcpcd' zum Absturz zu bringen (Denial-of-Service, DoS) oder beliebigen Programmcode mit den Rechten des Dienstes auszuführen. Für Fedora 23 steht mit dem Paket 'dhcpcd-6.11.2-1.fc23' ein Sicherheitsupdate im Status 'testing' bereit. Patch: Fedora Security Update FEDORA-2016-3e9c54e3b0 (Fedora 23, dhcpcd-6.11.2-1) https://bodhi.fedoraproject.org/updates/FEDORA-2016-3e9c54e3b0

CVE-2014-7913: Schwachstelle in dhcpcd ermöglicht Ausführen beliebigen
Programmcodes mit den Rechten des Dienstes

In der Funktion ‘print_option()’ in ‘dhcp-common.c’ von ‘dhcpcd’ vor Version
6.9.1, wie sie beispielsweise in ‘dhcp.c’ in ‘dhcpcd 5.x’ in Android vor
Version 5.1 verwendet wird, wird der Rückgabewert der Funktion ‘snprintf()’
fehlinterpretiert, wodurch ein Pufferüberlauf erzeugt werden kann.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2016-1306/

Schwachstelle CVE-2014-7913 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-7913

Fedora Security Update FEDORA-2016-3e9c54e3b0 (Fedora 23, dhcpcd-6.11.2-1):
https://bodhi.fedoraproject.org/updates/FEDORA-2016-3e9c54e3b0

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.