UPDATE: DFN-CERT-2017-0786 libtirpc, rpcbind: Eine Schwachstelle ermöglicht einen Denial-of-Service-Angriff [Linux][Debian][Fedora]

UPDATE: DFN-CERT-2017-0786 libtirpc, rpcbind: Eine Schwachstelle ermöglicht einen Denial-of-Service-Angriff [Linux][Debian][Fedora]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 3 (16.05.2017):
Für Fedora 25 und 26 stehen neue Sicherheitsupdates für ‘rpcbind’ bereit.
Die in den bisherigen Sicherheitsupdates veröffentlichte Version von
‘rpcbind’ stürzt bei der gleichzeitigen Verwendung von ‘ypbind’ ab. Das
neue Sicherheitsupdate für Fedora 26 befindet sich im Status ‘testing’,
während dasjenige für Fedora 25 noch im Status ‘pending’ ist.
Version 2 (12.05.2017):
Für Fedora 25 und 26 stehen Sicherheitsupdates für ‘rpcbind’ bereit. Das
Sicherheitsupdate für Fedora 25 befindet sich im Status ‘testing’, während
dasjenige für Fedora 26 noch im Status ‘pending’ ist.
Version 1 (09.05.2017):
Neues Advisory

Betroffene Software:

rpcbind
libtirpc

Betroffene Plattformen:

Debian Linux 8.8 Jessie
Debian Linux 9.0 Stretch
GNU/Linux
Red Hat Fedora 25
Red Hat Fedora 26

Ein entfernter, nicht authentisierter Angreifer kann eine Schwachstelle in
rpcbind und weiteren Bibliotheken wie libtirpc und dessen Abspaltung
libntirpc ausnutzen, um ein Speicherleck von bis zu 4 GB pro Angriff zu
erzeugen und in der Folge den gesamten Speicher des Systems zu erschöpfen
(Denial-of-Service). Die Schwachstelle kann möglicherweise für weitere
Angriffe im Kontext anderer Anwendungen ausgenutzt werden und ist unter dem
Namen ‘rpcbomb’ bekannt.

Der Hersteller der Software hat bisher nicht auf die Veröffentlichung eines
Exploits reagiert, es stehen aber bereits durch den Entdecker der
Schwachstelle erstellte Patches für rpcbind und libtirpc zur Verfügung.

Debian stellt für die stabile Distribution Debian Jessie und die folgende
stabile Distribution Debian Stretch Sicherheitsupdates für libtirpc und
rpcbind bereit.

Patch:

Patches für ‘rpcbomb’ vom Entdecker der Schwachstelle

https://github.com/guidovranken/rpcbomb/

Patch:

Debian Security Advisory DSA-3845-1

https://www.debian.org/security/2017/dsa-3845

Patch:

Fedora Security Update FEDORA-2017-36cba32910 (rpcbind-0.2.4-6.rc1.fc26)

https://bodhi.fedoraproject.org/updates/FEDORA-2017-36cba32910

Patch:

Fedora Security Update FEDORA-2017-ac407781c3 (rpcbind-0.2.4-5.rc1.fc25)

https://bodhi.fedoraproject.org/updates/FEDORA-2017-ac407781c3

Patch:

Fedora Security Update FEDORA-2017-08d7fe9178 (rpcbind-0.2.4-6.rc1.fc25)

https://bodhi.fedoraproject.org/updates/FEDORA-2017-08d7fe9178

Patch:

Fedora Security Update FEDORA-2017-283a7d7b7f (rpcbind-0.2.4-7.rc1.fc26)

https://bodhi.fedoraproject.org/updates/FEDORA-2017-283a7d7b7f

CVE-2017-8779: Schwachstelle in libtirpc ermöglicht
Denial-of-Service-Angriff

Pufferspeicher, der für die Verarbeitung von eXternal Data
Representation-Blöcken (XRD) alloziert wurde, wird nicht freigegeben, falls
die Verarbeitung aufgrund nicht ausreichender Eingabedaten fehlschlägt.
Durch eine speziell präparierte UDP-Nachricht an rpcbind oder die
Bibliotheken libtirpc und libntirpc auf Port 111 kann dieses Verhalten
ausgelöst werden. Die Schwachstelle ist unter dem Namen ‘rpcbomb’ bekannt.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-0786/

Patches für ‘rpcbomb’ vom Entdecker der Schwachstelle:
https://github.com/guidovranken/rpcbomb/

Red Hat Bug 1448124 (CVE-2017-8779):
https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2017-8779

Schwachstelle CVE-2017-8779 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-8779

Debian Security Advisory DSA-3845-1:
https://www.debian.org/security/2017/dsa-3845

Fedora Security Update FEDORA-2017-36cba32910 (rpcbind-0.2.4-6.rc1.fc26):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-36cba32910

Fedora Security Update FEDORA-2017-ac407781c3 (rpcbind-0.2.4-5.rc1.fc25):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-ac407781c3

Fedora Security Update FEDORA-2017-08d7fe9178 (rpcbind-0.2.4-6.rc1.fc25):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-08d7fe9178

Fedora Security Update FEDORA-2017-283a7d7b7f (rpcbind-0.2.4-7.rc1.fc26):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-283a7d7b7f

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben