UPDATE: DFN-CERT-2017-0910 Libtasn1: Eine Schwachstelle ermöglicht einen Denial-of-Service-Angriff und die Ausführung beliebigen Programmcodes [Linux][Debian][Fedora]

UPDATE: DFN-CERT-2017-0910 Libtasn1: Eine Schwachstelle ermöglicht einen Denial-of-Service-Angriff und die Ausführung beliebigen Programmcodes [Linux][Debian][Fedora]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 3 (31.05.2017):
Für Fedora 26 und Fedora EPEL 7 stehen Sicherheitsupdates in Form der
Pakete ‘mingw-libtasn1-4.12-1.f26’ und ‘mingw-libtasn1-4.12-1.el7’ im
Status ‘testing’ bereit. Das Sicherheitsupdate für Fedora EPEL 7
adressiert zusätzlich die Denial-of-Service-Schwachstellen CVE-2016-4008
und CVE-2015-3622.
Version 2 (30.05.2017):
Für Fedora 25 und 26 steht Libtasn1 in der Version 4.12 als
Sicherheitsupdate bereit. Das Sicherheitsupdate für Fedora 25 befindet
sich im Status ‘pending’ befindet, das Sicherheitsupdate für Fedora 26 im
Status ‘testing’.
Version 1 (26.05.2017):
Neues Advisory

Betroffene Software:

Libtasn1

Betroffene Plattformen:

Debian Linux 8.8 Jessie
Red Hat Fedora 25
Red Hat Fedora 26
Extra Packages for Red Hat Enterprise Linux 7

Ein entfernter, nicht authentisierter Angreifer kann eine Schwachstelle in
Libtasn1 ausnutzen, indem er einen Benutzer der Anwendung zur Verarbeitung
speziell präparierter Zuweisungsdateien (Assignment Files) verleitet.
Dadurch kann ein Denial-of-Service-Zustand ausgelöst und möglicherweise
beliebiger Programmcode ausgeführt werden.

Der Hersteller stellt einen Patch für die Schwachstelle bereit und kündigt
an, das Problem mit Version 4.11 der Software zu beheben. Eine abschließende
Liste verwundbarer Versionen existiert noch nicht, die Schwachstelle wurde
bisher nur für Libtasn1 4.10 bestätigt.

Debian stellt für die stabile Distribution Debian Jessie ein
Backport-Sicherheitsupdate für ‘libtasn1-6’ bereit.

Patch:

Debian Security Advisory DSA-3861-1

https://www.debian.org/security/2017/dsa-3861

Patch:

Fedora Security Update FEDORA-2017-5115baf0e6 (Fedora 26, libtasn1-4.12-1)

https://bodhi.fedoraproject.org/updates/FEDORA-2017-5115baf0e6

Patch:

Fedora Security Update FEDORA-2017-c7c3f7ed26 (Fedora 25, libtasn1-4.12-1)

https://bodhi.fedoraproject.org/updates/FEDORA-2017-c7c3f7ed26

Patch:

Fedora Security Update FEDORA-2017-d5cf1a55ce (Fedora 26,
mingw-libtasn1-4.12-1)

https://bodhi.fedoraproject.org/updates/FEDORA-2017-d5cf1a55ce

Patch:

Fedora Security Update FEDORA-EPEL-2017-776e20faa7 (Fedora EPEL 7,
mingw-libtasn1-4.12-1)

https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2017-776e20faa7

CVE-2017-6891: Schwachstelle in Libtasn1 ermöglicht
Denial-of-Service-Angriff und Ausführung beliebigen Programmcodes

Zwei Programmfehler in der Funktion ‘asn1_find_node’ in Libtasn1 4.10 können
ausgenutzt werden, um stackbasierte Pufferüberläufe zu erzeugen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-0910/

Schwachstelle CVE-2017-6891 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-6891

Debian Security Advisory DSA-3861-1:
https://www.debian.org/security/2017/dsa-3861

Fedora Security Update FEDORA-2017-5115baf0e6 (Fedora 26, libtasn1-4.12-1):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-5115baf0e6

Fedora Security Update FEDORA-2017-c7c3f7ed26 (Fedora 25, libtasn1-4.12-1):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-c7c3f7ed26

Fedora Security Update FEDORA-2017-d5cf1a55ce (Fedora 26,
mingw-libtasn1-4.12-1):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-d5cf1a55ce

Fedora Security Update FEDORA-EPEL-2017-776e20faa7 (Fedora EPEL 7,
mingw-libtasn1-4.12-1):
https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2017-776e20faa7

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben