UPDATE: DFN-CERT-2017-0260 vim: Eine Schwachstelle ermöglicht einen Denial-of-Service-Angriff und das Ausspähen von Informationen [Linux][Debian][Fedora][SuSE]

UPDATE: DFN-CERT-2017-0260 vim: Eine Schwachstelle ermöglicht einen Denial-of-Service-Angriff und das Ausspähen von Informationen [Linux][Debian][Fedora][SuSE]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 4 (05.07.2017):
Für SUSE Linux Enterprise Server und Debuginfo in Version 11 SP4 stehen
Backport-Sicherheitsupdates für vim bereit.
Version 3 (20.02.2017):
Für openSUSE Leap 42.1 steht ein Backport-Sicherheitsupdate für vim
bereit.
Version 2 (14.02.2017):
Für Debian Jessie (stable) steht ein Backport-Sicherheitsupdate bereit.
Debian schätzt die Schwachstelle als schwerwiegender ein, da der mit dem
Update behobene Pufferüberlauf in der Ausführung beliebigen Programmcodes
münden könnte.
Version 1 (13.02.2017):
Neues Advisory

Betroffene Software:

vim < 8.0.0322 Betroffene Plattformen: SUSE Linux Enterprise Debuginfo 11 SP4 Debian Linux 8.7 Jessie openSUSE Leap 42.1 SUSE Linux Enterprise Server 11 SP4 Red Hat Fedora 24 Red Hat Fedora 25 Eine Schwachstelle in vim ermöglicht einem lokalen, nicht authentisierten Angreifer die Durchführung eines Denial-of-Service-Angriffs und das Ausspähen von Informationen. Zur erfolgreichen Ausnutzung der Schwachstelle ist eine Benutzerinteraktion erforderlich. Für Fedora 24 und 25 steht vim in der Version 8.0.324 im Status 'testing' als Sicherheitsupdate bereit. Patch: Fedora Security Update FEDORA-2017-595fec72ef (Fedora 25, vim-8.0.324-1) https://bodhi.fedoraproject.org/updates/FEDORA-2017-595fec72ef

Patch:

Fedora Security Update FEDORA-2017-9b2cf468d5 (Fedora 24, vim-8.0.324-1)

https://bodhi.fedoraproject.org/updates/FEDORA-2017-9b2cf468d5

Patch:

Debian Security Advisory DSA-3786-1

https://www.debian.org/security/2017/dsa-3786

Patch:

openSUSE Security Update openSUSE-SU-2017:0511-1

http://lists.opensuse.org/opensuse-updates/2017-02/msg00090.html

Patch:

SUSE Security Update SUSE-SU-2017:1775-1

http://lists.suse.com/pipermail/sle-security-updates/2017-July/003007.html

CVE-2017-5953: Schwachstelle in vim ermöglicht u.a.
Denial-of-Service-Angriff

Durch die unzureichende Validierung von Wertangaben zu Baumgrößen in
‘Spell’-Dateien besteht eine Schwachstelle in vim. Diese ermöglicht es einen
Ganzzahlenüberlauf zu provozieren, wodurch im weiteren Programmablauf
weniger Speicher als erwartet reserviert wird. Dadurch ist es anschließend
möglich einen Pufferspeicher-Überlauf zu verursachen und in der Folge die
Anwendung abstürzen zu lassen sowie Daten offenzulegen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-0260/

Schwachstelle CVE-2017-5953 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-5953

Fedora Security Update FEDORA-2017-595fec72ef (Fedora 25, vim-8.0.324-1):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-595fec72ef

Fedora Security Update FEDORA-2017-9b2cf468d5 (Fedora 24, vim-8.0.324-1):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-9b2cf468d5

Debian Security Advisory DSA-3786-1:
https://www.debian.org/security/2017/dsa-3786

openSUSE Security Update openSUSE-SU-2017:0511-1:
http://lists.opensuse.org/opensuse-updates/2017-02/msg00090.html

SUSE Security Update SUSE-SU-2017:1775-1:
http://lists.suse.com/pipermail/sle-security-updates/2017-July/003007.html

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben