Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Betroffene Software:
Irssi < 0.8.21 Irssi < 1.0.0 Betroffene Plattformen: openSUSE 13.2 openSUSE Leap 42.1 openSUSE Leap 42.2 Mehrere Schwachstellen in Irssi ermöglichen einem entfernten wie lokalen, nicht authentisierten Angreifer die Durchführung von Denial-of-Service-Angriffen mit Hilfe speziell präparierter IRC-Server oder Eingangsdaten. Der Hersteller informiert über die Schwachstellen in unterschiedlichen Versionen von Irssi und stellt die Versionen 0.8.21 und 1.0.0 als Sicherheitsupdate bereit. Irssi 0.8.21 ist ein Wartungsupdate (Maintenance Release) ohne neue Funktionalität. Für openSUSE Leap 42.2, openSUSE Leap 42.1 und openSUSE 13.2 sowie für SUSE Package Hub for SUSE Linux Enterprise 12 steht Irssi in der Version 0.8.21 als Sicherheitsupdate bereit. Patch: Irssi Security Advisory IRSSI-SA-2017-01 https://irssi.org/security/irssi_sa_2017_01.txt
Patch:
openSUSE Security Update openSUSE-SU-2017:0093-1
http://lists.opensuse.org/opensuse-updates/2017-01/msg00058.html
Patch:
openSUSE Security Update openSUSE-SU-2017:0094-1
http://lists.opensuse.org/opensuse-updates/2017-01/msg00059.html
CVE-2017-5196: Schwachstelle in Irssi ermöglicht Denial-of-Service-Angriff
Einige unvollständige Zeichenfolgen in Irssi ermöglichen Lesezugriffe auf
Speicherbereiche außerhalb zulässiger Grenzen, wodurch die Anwendung zum
Absturz gebracht werden kann. Ein lokaler, nicht authentisierter Angreifer
kann durch das Ausnutzen der Schwachstelle einen Denial-of-Service-Angriff
durchführen.
CVE-2017-5195: Schwachstelle in Irssi ermöglicht Denial-of-Service-Angriff
Aufgrund der Unvollständigkeit bestimmter Steuercodes besteht eine
Schwachstelle in Irssi, wodurch Lesezugriffe auf Speicherbereiche außerhalb
zulässiger Grenzen ausgeführt werden können, die wiederum einen Absturz der
Anwendung zur Folge haben. Ein lokaler, nicht authentisierter Angreifer kann
durch das Ausnutzen der Schwachstelle einen Denial-of-Service-Angriff
durchführen.
CVE-2017-5194: Schwachstelle in Irssi ermöglicht Denial-of-Service-Angriff
In Irssi besteht beim Empfang von ungültigen ‘nick’-Nachrichten eine nicht
weiter beschriebene Use-after-Free-Schwachstelle, wodurch die Anwendung zum
Absturz gebracht werden kann. Ein entfernter, nicht authentisierter
Angreifer kann durch das Ausnutzen der Schwachstelle einen
Denial-of-Service-Angriff durchführen.
CVE-2017-5193: Schwachstelle in Irssi ermöglicht Denial-of-Service-Angriff
Aufgrund eines nicht näher beschriebenen Fehlers in der Funktion ‘nickcmp’
besteht eine Schwachstelle in Irssi, welche es ermöglicht die
Dereferenzierung eines NULL-Zeigers zu provozieren und die Anwendung dadurch
zum Absturz zu bringen. Ein entfernter, nicht authentisierter Angreifer kann
durch das Ausnutzen der Schwachstelle mit Hilfe eines speziell präparierten
Nicknames einen Denial-of-Service-Angriff durchführen, wenn der betroffene
Benutzer diesen zu seinen Kontakten hinzufügt.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-0031/
Schwachstelle CVE-2017-5193 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-5193
Schwachstelle CVE-2017-5194 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-5194
Schwachstelle CVE-2017-5195 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-5195
Schwachstelle CVE-2017-5196 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-5196
Irssi Security Advisory IRSSI-SA-2017-01:
https://irssi.org/security/irssi_sa_2017_01.txt
openSUSE Security Update openSUSE-SU-2017:0093-1:
http://lists.opensuse.org/opensuse-updates/2017-01/msg00058.html
openSUSE Security Update openSUSE-SU-2017:0094-1:
http://lists.opensuse.org/opensuse-updates/2017-01/msg00059.html
(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.
