UPDATE: DFN-CERT-2017-0173 BitlBee: Zwei Schwachstellen ermöglichen verschiedene Denial-of-Service-Angriffe [Linux][Debian][Fedora]

UPDATE: DFN-CERT-2017-0173 BitlBee: Zwei Schwachstellen ermöglichen verschiedene Denial-of-Service-Angriffe [Linux][Debian][Fedora]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 2 (16.05.2017):
Debian stellt für die Distributionen Jessie und Stretch Sicherheitsupdates
zur Behebung der beiden Schwachstellen in BitlBee bereit.
Version 1 (31.01.2017):
Neues Advisory

Betroffene Software:

BitlBee < 3.5.1 Betroffene Plattformen: Debian Linux 8.8 Jessie Debian Linux 9.0 Stretch Red Hat Fedora 24 Red Hat Fedora 25 Extra Packages for Red Hat Enterprise Linux 5 Extra Packages for Red Hat Enterprise Linux 6 Extra Packages for Red Hat Enterprise Linux 7 Zwei Schwachstellen in BitlBee ermöglichen einem entfernten, nicht authentifizierten Angreifer die Durchführung verschiedener Denial-of-Service-Angriffe auf BitlBee-Benutzer durch die Dereferenzierung eines NULL-Zeigers und den Zugriff auf bereits freigegebene Speicherbereiche (Use-after-Free). Der Hersteller informiert über die Schwachstellen und stellt die Version 3.5.1 als Sicherheitsupdate bereit. Für beide Schwachstellen in BitlBee existieren Exploits. Für Fedora 24 und 25 sowie Fedora EPEL 6 und 7 stehen Sicherheitsupdates auf diese Programmversion im Status 'testing' bereit. Fedora EPEL 5 ist nur von der möglichen Dereferenzierung eines NULL-Zeigers betroffen, hierfür steht ein Backport-Sicherheitsupdate im Status 'testing' bereit. Patch: BitlBee Downloadseite https://www.bitlbee.org/main.php/download.html

Patch:

Fedora Security Update FEDORA-2017-6694f5cd3a (Fedora 24,
bitlbee-3.5.1-1.fc24)

https://bodhi.fedoraproject.org/updates/FEDORA-2017-6694f5cd3a

Patch:

Fedora Security Update FEDORA-2017-deb82f0c0d (Fedora 25,
bitlbee-3.5.1-1.fc25)

https://bodhi.fedoraproject.org/updates/FEDORA-2017-deb82f0c0d

Patch:

Fedora Security Update FEDORA-EPEL-2017-2f6331df71 (Fedora EPEL 6,
bitlbee-3.5.1-1.el6)

https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2017-2f6331df71

Patch:

Fedora Security Update FEDORA-EPEL-2017-90276ab407 (Fedora EPEL 5,
bitlbee-3.2.2-5.el5)

https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2017-90276ab407

Patch:

Fedora Security Update FEDORA-EPEL-2017-9eb6f867ac (Fedora EPEL 7,
bitlbee-3.5.1-1.el7)

https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2017-9eb6f867ac

Patch:

Debian Security Advisory DSA-3853-1

https://www.debian.org/security/2017/dsa-3853

CVE-2016-10188: Schwachstelle in BitlBee ermöglicht u.a.
Denial-of-Service-Angriff

Noch ausstehende Dateitransfers laufen in BitlBee nach 120 Sekunden ab.
Dabei kann es zum Zugriff auf bereits freigegebene Speicherbereiche kommen
(Use-after-Free), wenn die Verbindung zum entsprechenden Benutzeraccount
unterbrochen wird. Ein entfernter, nicht authentifizierter Angreifer, der
einen BitlBee-Server betreibt, kann einen solchen Verbindungsabbruch
forcieren und einen Denial-of-Service (DoS)-Angriff auf einen Benutzer
ausführen. Theoretisch ist durch den Zugriff auf freigegebene Ressourcen
auch die Ausführung beliebigen Programmcodes möglich.

CVE-2016-10189: Schwachstelle in BitlBee ermöglicht
Denial-of-Service-Angriff

Durch eine Anfrage für einen Dateitransfer, die von einem Kontakt ausgeht,
der nicht in der Kontaktliste des Benutzers enthalten ist, kann es zur
Dereferenzierung eines NULL-Zeigers kommen. Ein entfernter, nicht
authentifizierter Angreifer kann dadurch einen Denial-of-Service
(DoS)-Angriff auf einen Benutzer von BitlBee ausführen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-0173/

BitlBee Downloadseite:
https://www.bitlbee.org/main.php/download.html

Fedora Security Update FEDORA-2017-6694f5cd3a (Fedora 24,
bitlbee-3.5.1-1.fc24):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-6694f5cd3a

Fedora Security Update FEDORA-2017-deb82f0c0d (Fedora 25,
bitlbee-3.5.1-1.fc25):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-deb82f0c0d

Fedora Security Update FEDORA-EPEL-2017-2f6331df71 (Fedora EPEL 6,
bitlbee-3.5.1-1.el6):
https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2017-2f6331df71

Fedora Security Update FEDORA-EPEL-2017-90276ab407 (Fedora EPEL 5,
bitlbee-3.2.2-5.el5):
https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2017-90276ab407

Fedora Security Update FEDORA-EPEL-2017-9eb6f867ac (Fedora EPEL 7,
bitlbee-3.5.1-1.el7):
https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2017-9eb6f867ac

BitlBee 3.5.1 Release Notes:
https://www.bitlbee.org/main.php/changelog.html

BitlBee Bug #1281: ‘bitlbee-libpurple: Use after free when expiring file
transfer requests’:
https://bugs.bitlbee.org/ticket/1281

BitlBee Bug #1282: ‘Null pointer dereference with file transfer request from
unknown contacts’:
https://bugs.bitlbee.org/ticket/1282

Schwachstelle CVE-2016-10188 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-10188

Schwachstelle CVE-2016-10189 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-10189

Debian Security Advisory DSA-3853-1:
https://www.debian.org/security/2017/dsa-3853

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben