UPDATE: DFN-CERT-2015-1833 Debian dpkg: Eine Schwachstelle ermöglicht das Ausführen beliebigen Programmcodes [Linux][Debian][Fedora][SuSE]

UPDATE: DFN-CERT-2015-1833 Debian dpkg: Eine Schwachstelle ermöglicht das Ausführen beliebigen Programmcodes [Linux][Debian][Fedora][SuSE]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 4 (09.05.2017):
Für openSUSE Leap 42.1 steht ein Sicherheitsupdate für dpkg bereit.
Version 3 (25.04.2017):
Für SUSE Linux Enterprise Server 12 SP1 und Desktop 12 SP1 stehen
Sicherheitsupdates bereit.
Version 2 (28.11.2016):
Für die Distributionen Fedora 23, 24 und 25 sowie für Fedora EPEL 6 und 7
stehen Sicherheitsupdates bereit, um die Schwachstelle zu beheben. Vom
Update für Fedora EPEL 6 abgesehen beinhalten die Sicherheitsupdates auch
eine Aktualisierung auf die neue Version 1.17.27 von dpkg.
Version 1 (27.11.2015):
Neues Advisory

Betroffene Software:

dpkg

Betroffene Plattformen:

Canonical Ubuntu Linux 12.04 LTS
Canonical Ubuntu Linux 14.04 LTS
Canonical Ubuntu Linux 15.04
Canonical Ubuntu Linux 15.10
Debian Linux 7.9 Wheezy
Debian Linux 8.2 Jessie
openSUSE Leap 42.1
SUSE Linux Enterprise Desktop 12 SP1
SUSE Linux Enterprise Server 12 SP1
Red Hat Fedora 23
Red Hat Fedora 24
Red Hat Fedora 25
Extra Packages for Red Hat Enterprise Linux 6
Extra Packages for Red Hat Enterprise Linux 7

Ein entfernter, nicht authentifizierter Angreifer, der in der Lage ist,
einen Benutzer oder ein automatisches System zum Verarbeiten eines speziell
manipulierten Debian Binärpaketes (.deb) zu verleiten, kann die
Schwachstelle ausnutzen, um beliebigen Programmcode zur Ausführung zu
bringen.

Debian stellt für die Distributionen Jessie (stable) und Wheezy (old stable)
Sicherheitsupdates zur Verfügung. Canonical adressiert die Schwachstelle für
Ubuntu 12.04 LTS, Ubuntu 14.04 LTS, Ubuntu 15.04 und Ubuntu 15.10.

Patch:

Debian Security Advisory DSA-3407-1

https://www.debian.org/security/2015/dsa-3407

Patch:

Ubuntu Security Notice USN-2820-1

http://www.ubuntu.com/usn/usn-2820-1/

Patch:

Fedora Security Update FEDORA-2016-0918477a60 (Fedora 25,
dpkg-1.17.27-1.fc25)

https://bodhi.fedoraproject.org/updates/FEDORA-2016-0918477a60

Patch:

Fedora Security Update FEDORA-2016-10ec03ed27 (Fedora 23,
dpkg-1.17.27-1.fc23)

https://bodhi.fedoraproject.org/updates/FEDORA-2016-10ec03ed27

Patch:

Fedora Security Update FEDORA-2016-5608472a90 (Fedora 24,
dpkg-1.17.27-1.fc24)

https://bodhi.fedoraproject.org/updates/FEDORA-2016-5608472a90

Patch:

Fedora Security Update FEDORA-EPEL-2016-4e37be4ce3 (Fedora EPEL 6,
dpkg-1.16.18-2.el6)

https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2016-4e37be4ce3

Patch:

Fedora Security Update FEDORA-EPEL-2016-a0a16db403 (Fedora EPEL 7,
dpkg-1.17.27-1.el7)

https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2016-a0a16db403

Patch:

SUSE Security Update SUSE-SU-2017:1096-1

http://lists.suse.com/pipermail/sle-security-updates/2017-April/002827.html

Patch:

openSUSE Security Update openSUSE-SU-2017:1205-1

http://lists.opensuse.org/opensuse-updates/2017-05/msg00030.html

CVE-2015-0860: Schwachstelle in dpkg ermöglicht Ausführung beliebigen
Programmcodes

In der ‘dpkg-deb’-Komponente des Debian Package Management Systems (dpkg)
existiert eine Schwachstelle, die auf einem Stack-basierten Pufferüberlauf
beim Prozessieren von Debian Binärpaketen des alten Stils (old style Debian
binary packages) beruht.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-1833/

Debian Security Advisory DSA-3407-1:
https://www.debian.org/security/2015/dsa-3407

Ubuntu Security Notice USN-2820-1:
http://www.ubuntu.com/usn/usn-2820-1/

Schwachstelle CVE-2015-0860 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0860

Fedora Security Update FEDORA-2016-0918477a60 (Fedora 25, dpkg-1.17.27-1.fc25):
https://bodhi.fedoraproject.org/updates/FEDORA-2016-0918477a60

Fedora Security Update FEDORA-2016-10ec03ed27 (Fedora 23, dpkg-1.17.27-1.fc23):
https://bodhi.fedoraproject.org/updates/FEDORA-2016-10ec03ed27

Fedora Security Update FEDORA-2016-5608472a90 (Fedora 24, dpkg-1.17.27-1.fc24):
https://bodhi.fedoraproject.org/updates/FEDORA-2016-5608472a90

Fedora Security Update FEDORA-EPEL-2016-4e37be4ce3 (Fedora EPEL 6,
dpkg-1.16.18-2.el6):
https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2016-4e37be4ce3

Fedora Security Update FEDORA-EPEL-2016-a0a16db403 (Fedora EPEL 7,
dpkg-1.17.27-1.el7):
https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2016-a0a16db403

SUSE Security Update SUSE-SU-2017:1096-1:
http://lists.suse.com/pipermail/sle-security-updates/2017-April/002827.html

openSUSE Security Update openSUSE-SU-2017:1205-1:
http://lists.opensuse.org/opensuse-updates/2017-05/msg00030.html

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

UPDATE: DFN-CERT-2015-1833 Debian dpkg: Eine Schwachstelle ermöglicht das Ausführen beliebigen Programmcodes [Linux][Debian][Fedora][SuSE]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 3 (25.04.2017):
Für SUSE Linux Enterprise Server 12 SP1 und Desktop 12 SP1 stehen
Sicherheitsupdates bereit.
Version 2 (28.11.2016):
Für die Distributionen Fedora 23, 24 und 25 sowie für Fedora EPEL 6 und 7
stehen Sicherheitsupdates bereit, um die Schwachstelle zu beheben. Vom
Update für Fedora EPEL 6 abgesehen beinhalten die Sicherheitsupdates auch
eine Aktualisierung auf die neue Version 1.17.27 von dpkg.
Version 1 (27.11.2015):
Neues Advisory

Betroffene Software:

dpkg

Betroffene Plattformen:

Canonical Ubuntu Linux 12.04 LTS
Canonical Ubuntu Linux 14.04 LTS
Canonical Ubuntu Linux 15.04
Canonical Ubuntu Linux 15.10
Debian Linux 7.9 Wheezy
Debian Linux 8.2 Jessie
SUSE Linux Enterprise Desktop 12 SP1
SUSE Linux Enterprise Server 12 SP1
Red Hat Fedora 23
Red Hat Fedora 24
Red Hat Fedora 25
Extra Packages for Red Hat Enterprise Linux 6
Extra Packages for Red Hat Enterprise Linux 7

Ein entfernter, nicht authentifizierter Angreifer, der in der Lage ist,
einen Benutzer oder ein automatisches System zum Verarbeiten eines speziell
manipulierten Debian Binärpaketes (.deb) zu verleiten, kann die
Schwachstelle ausnutzen, um beliebigen Programmcode zur Ausführung zu
bringen.

Debian stellt für die Distributionen Jessie (stable) und Wheezy (old stable)
Sicherheitsupdates zur Verfügung. Canonical adressiert die Schwachstelle für
Ubuntu 12.04 LTS, Ubuntu 14.04 LTS, Ubuntu 15.04 und Ubuntu 15.10.

Patch:

Debian Security Advisory DSA-3407-1

https://www.debian.org/security/2015/dsa-3407

Patch:

Ubuntu Security Notice USN-2820-1

http://www.ubuntu.com/usn/usn-2820-1/

Patch:

Fedora Security Update FEDORA-2016-0918477a60 (Fedora 25,
dpkg-1.17.27-1.fc25)

https://bodhi.fedoraproject.org/updates/FEDORA-2016-0918477a60

Patch:

Fedora Security Update FEDORA-2016-10ec03ed27 (Fedora 23,
dpkg-1.17.27-1.fc23)

https://bodhi.fedoraproject.org/updates/FEDORA-2016-10ec03ed27

Patch:

Fedora Security Update FEDORA-2016-5608472a90 (Fedora 24,
dpkg-1.17.27-1.fc24)

https://bodhi.fedoraproject.org/updates/FEDORA-2016-5608472a90

Patch:

Fedora Security Update FEDORA-EPEL-2016-4e37be4ce3 (Fedora EPEL 6,
dpkg-1.16.18-2.el6)

https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2016-4e37be4ce3

Patch:

Fedora Security Update FEDORA-EPEL-2016-a0a16db403 (Fedora EPEL 7,
dpkg-1.17.27-1.el7)

https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2016-a0a16db403

Patch:

SUSE Security Update SUSE-SU-2017:1096-1

http://lists.suse.com/pipermail/sle-security-updates/2017-April/002827.html

CVE-2015-0860: Schwachstelle in dpkg ermöglicht Ausführung beliebigen
Programmcodes

In der ‘dpkg-deb’-Komponente des Debian Package Management Systems (dpkg)
existiert eine Schwachstelle, die auf einem Stack-basierten Pufferüberlauf
beim Prozessieren von Debian Binärpaketen des alten Stils (old style Debian
binary packages) beruht.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-1833/

Debian Security Advisory DSA-3407-1:
https://www.debian.org/security/2015/dsa-3407

Ubuntu Security Notice USN-2820-1:
http://www.ubuntu.com/usn/usn-2820-1/

Schwachstelle CVE-2015-0860 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0860

Fedora Security Update FEDORA-2016-0918477a60 (Fedora 25, dpkg-1.17.27-1.fc25):
https://bodhi.fedoraproject.org/updates/FEDORA-2016-0918477a60

Fedora Security Update FEDORA-2016-10ec03ed27 (Fedora 23, dpkg-1.17.27-1.fc23):
https://bodhi.fedoraproject.org/updates/FEDORA-2016-10ec03ed27

Fedora Security Update FEDORA-2016-5608472a90 (Fedora 24, dpkg-1.17.27-1.fc24):
https://bodhi.fedoraproject.org/updates/FEDORA-2016-5608472a90

Fedora Security Update FEDORA-EPEL-2016-4e37be4ce3 (Fedora EPEL 6,
dpkg-1.16.18-2.el6):
https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2016-4e37be4ce3

Fedora Security Update FEDORA-EPEL-2016-a0a16db403 (Fedora EPEL 7,
dpkg-1.17.27-1.el7):
https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2016-a0a16db403

SUSE Security Update SUSE-SU-2017:1096-1:
http://lists.suse.com/pipermail/sle-security-updates/2017-April/002827.html

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben