DFN-CERT-2017-1347 GNU Libtasn1: Zwei Schwachstellen ermöglichen u.a. Denial-of-Service-Angriffe [Linux][RedHat]

DFN-CERT-2017-1347 GNU Libtasn1: Zwei Schwachstellen ermöglichen u.a. Denial-of-Service-Angriffe [Linux][RedHat]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Libtasn1 < 4.5 Betroffene Plattformen: Red Hat Enterprise Linux for Power (big endian) 7 Red Hat Enterprise Linux for IBM z Systems 7 Red Hat Enterprise Linux for Power (little endian) 7 Red Hat Enterprise Linux for Scientific Computing 7 Red Hat Enterprise Linux Desktop 7 Red Hat Enterprise Linux Server 7 Red Hat Enterprise Linux Server for ARM 7 Red Hat Enterprise Linux Workstation 7 Zwei Schwachstellen in GNU Libtasn1 ermöglichen einem entfernten, nicht authentisierten Angreifer die Durchführung verschiedener Denial-of-Service-Angriffe, das Ausspähen von Informationen und weitere, nicht spezifizierte Angriffe. Red Hat stellt für verschiedene Red Hat Enterprise Linux 7 Releases der Bereiche Client, ComputeNode, Server und Workstation Sicherheitsupdates für 'libtasn1' bereit. Mit den im Rahmen des Releases von Red Hat Enterprise Linux 7.4 veröffentlichten Updates wird 'libtasn1' auf Version 4.10 aktualisiert. Patch: Red Hat Security Advisory RHSA-2017:1860 https://access.redhat.com/errata/RHSA-2017:1860

CVE-2015-3622: Schwachstelle in Libtasn1 ermöglicht
Denial-of-Service-Angriff

Eine Schwachstelle in der Funktion “_asn1_extract_der_octet()” der
Bibliothek Libtasn1 führt zu einer fehlerbehafteten Entschlüsselung von
DER-kodierten Eingaben. Durch die Verarbeitung von präparierten DER-Eingaben
kommt es zu einem Lesen außerhalb der Begrenzungen (“out-of-bounds heap
read”). Ein entfernter, nicht authentifizierter Angreifer kann einen
Denial-of-Service-Angriff durchführen.

CVE-2015-2806: Schwachstelle in Libtasn1 und GnuTLS ermöglicht u.a.
Denial-of-Service-Angriff

In Libtasn1 und dem diese Bibliothek nutzenden GnuTLS existiert eine zwei
Byte Stacküberlauf-Schwachstelle in der ‘asn1_der_decoding’-Funktion. Ein
entfernter, nicht authentisierter Angreifer kann diese Schwachstelle nutzen,
um Informationen auszuspähen, einen Denial-of-Service-Zustand zu bewirken
oder weitere nicht näher spezifizierte Angriffe durchzuführen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-1347/

Schwachstelle CVE-2015-2806 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-2806

Schwachstelle CVE-2015-3622 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-3622

Red Hat Security Advisory RHSA-2017:1860:
https://access.redhat.com/errata/RHSA-2017:1860

[RHSA-2017:1860-01] libtasn1 security, bug fix, and enhancement update:
https://www.redhat.com/archives/rhsa-announce/2017-August/msg00007.html

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben