Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Historie:
Version 3 (30.08.2016):
Für SUSE Webyast 1.3 und SUSE Lifecycle Management Server 1.3 stehen
Sicherheitsupdates zur Behebung der Schwachstelle bereit.
Version 2 (29.07.2016):
Für Fedora EPEL 5 und 6 stehen aktualisierte Sicherheitsupdates in Form
der Pakete ‘collectd-4.10.9-3.el5’ und ‘collectd-4.10.9-3.el6’ im Status
‘testing’ zur Verfügung. Die bisherigen Sicherheitsupdates mit den Paketen
‘collectd-4.10.9-2.el5’ und ‘collectd-4.10.9-2.el6’ befinden sich damit im
Status ‘obsolete’.
Version 1 (28.07.2016):
Neues Advisory
Betroffene Software:
collectd < 5.4.3 collectd < 5.5.2 Betroffene Plattformen: SUSE Lifecycle Management Server 1.3 WebYaST 1.3 Red Hat Fedora 23 Red Hat Fedora 24 Extra Packages for Red Hat Enterprise Linux 5 Extra Packages for Red Hat Enterprise Linux 6 Extra Packages for Red Hat Enterprise Linux 7 Eine Schwachstelle in collectd ermöglicht einem entfernten, nicht authentifizierten Angreifer einen Denial-of-Service (DoS)-Angriff und möglicherweise das Ausführen beliebigen Programmcodes. Für Fedora 23, 24 und Fedora EPEL 7 stehen Sicherheitsupdates für collectd in der Version 5.5.2 und für Fedora EPEL 5 und 6 Backport-Sicherheitsupdates in der Version 4.10.9 im Status 'testing' bereit. Patch: Fedora Security Update FEDORA-2016-23f0d552e8 (Fedora 23, collectd-5.5.2-1) https://bodhi.fedoraproject.org/updates/FEDORA-2016-23f0d552e8
Patch:
Fedora Security Update FEDORA-2016-e16a14ffc5 (Fedora 24, collectd-5.5.2-1)
https://bodhi.fedoraproject.org/updates/FEDORA-2016-e16a14ffc5
Patch:
Fedora Security Update FEDORA-EPEL-2016-d6a70b113f (Fedora EPEL 7,
collectd-5.5.2-1.el7)
https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2016-d6a70b113f
Patch:
Fedora Security Update FEDORA-EPEL-2016-44bb169ee1 (Fedora EPEL 5,
collectd-4.10.9-3)
https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2016-44bb169ee1
Patch:
Fedora Security Update FEDORA-EPEL-2016-b191f5d359 (Fedora EPEL 6,
collectd-4.10.9-3)
https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2016-b191f5d359
Patch:
SUSE Security Update SUSE-SU-2016:2187-1
http://lists.suse.com/pipermail/sle-security-updates/2016-August/002239.html
CVE-2016-6254: Schwachstelle in collectd ermöglicht Ausführen beliebigen
Programmcodes
Es existiert eine nicht näher beschriebene Schwachstelle im
Server-Programmcode des Netzwerk-PlugIns von collectd, durch die mittels
manipulierter Datenpakete der Heap-basierte Pufferspeicher zum Überlauf
gebracht werden kann (Heap Overflow). Ein entfernter, nicht
authentifizierter Angreifer kann durch Ausnutzen der Schwachstelle den
Daemon zum Absturz bringen (Denial-of-Service) und möglicherweise sogar
beliebigen Programmcode zur Ausführung bringen.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2016-1205/
Fedora Security Update FEDORA-2016-23f0d552e8 (Fedora 23, collectd-5.5.2-1):
https://bodhi.fedoraproject.org/updates/FEDORA-2016-23f0d552e8
Fedora Security Update FEDORA-2016-e16a14ffc5 (Fedora 24, collectd-5.5.2-1):
https://bodhi.fedoraproject.org/updates/FEDORA-2016-e16a14ffc5
Fedora Security Update FEDORA-EPEL-2016-d6a70b113f (Fedora EPEL 7,
collectd-5.5.2-1.el7):
https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2016-d6a70b113f
Schwachstelle CVE-2016-6254 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-6254
Fedora Security Update FEDORA-EPEL-2016-44bb169ee1 (Fedora EPEL 5,
collectd-4.10.9-3):
https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2016-44bb169ee1
Fedora Security Update FEDORA-EPEL-2016-b191f5d359 (Fedora EPEL 6,
collectd-4.10.9-3):
https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2016-b191f5d359
SUSE Security Update SUSE-SU-2016:2187-1:
http://lists.suse.com/pipermail/sle-security-updates/2016-August/002239.html
(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.
