UPDATE: DFN-CERT-2017-0934 OpenLDAP: Eine Schwachstelle ermöglicht einen Denial-of-Service-Angriff [Linux][Debian][Fedora][RedHat][SuSE][Unix][AIX][FreeBSD][Apple][Solaris][Windows][Netzwerk]

UPDATE: DFN-CERT-2017-0934 OpenLDAP: Eine Schwachstelle ermöglicht einen Denial-of-Service-Angriff [Linux][Debian][Fedora][RedHat][SuSE][Unix][AIX][FreeBSD][Apple][Solaris][Windows][Netzwerk]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 9 (17.08.2017):
SUSE stellt für openSUSE Leap 42.3 ein Sicherheitsupdate zur Verfügung, um
die Schwachstelle zu beheben.
Version 8 (08.08.2017):
Für OpenLDAP auf Oracle Linux 7 (x86_64) steht ein Sicherheitsupdate zur
Behebung der Schwachstelle bereit.
Version 7 (02.08.2017):
Red Hat stellt für verschiedene Red Hat Enterprise Linux 7 Releases aus
den Bereichen Client, ComputeNode, Server und Workstation
Sicherheitsupdates für ‘openldap’ bereit, um die Schwachstelle zu beheben.
Mit den im Rahmen des Releases von Red Hat Enterprise Linux 7.4
veröffentlichten Updates wird OpenLDAP auf Version 2.4.44 aktualisiert.
Version 6 (20.07.2017):
Für Ubuntu 12.04 LTS steht ein Sicherheitsupdate für ‘slapd’ bereit, um
die Schwachstelle zu beheben.
Version 5 (06.07.2017):
Für Fedora 25 steht ein Sicherheitsupdate für ‘openldap’ im Status
‘testing’ bereit.
Version 4 (15.06.2017):
Für die SUSE Linux Enterprise Produkte Software Development Kit, Server
for Raspberry Pi, Server und Desktop in der Version 12 SP2 sowie OpenStack
Cloud Magnum Orchestration 7 stehen Sicherheitsupdates für ‘openldap2’ zur
Verfügung, um die Schwachstelle zu beheben.
Version 3 (01.06.2017):
Canonical veröffentlicht für die Distributionen Ubuntu 17.04, 16.10, 16.04
LTS und 14.04 LTS Sicherheitsupdates, um die Schwachstelle zu beheben.
Version 2 (31.05.2017):
Debian stellt für die stabile Distribution Debian Jessie ein
Sicherheitsupdate bereit.
Version 1 (30.05.2017):
Neues Advisory

Betroffene Software:

OpenLDAP <= 2.4.44 Betroffene Plattformen: SUSE Linux Enterprise Software Development Kit 12 SP2 OpenStack Magnum 7 Apple Mac OS X macOS Sierra Canonical Ubuntu Linux 12.04 LTS (ESM) Canonical Ubuntu Linux 14.04 LTS Canonical Ubuntu Linux 16.04 LTS Canonical Ubuntu Linux 16.10 Canonical Ubuntu Linux 17.04 Debian Linux 8.8 Jessie FreeBSD GNU/Linux HP-UX IBM AIX Microsoft Windows openSUSE Leap 42.3 SUSE Linux Enterprise Desktop 12 SP2 SUSE Linux Enterprise Server 12 SP2 SUSE Linux Enterprise Server 12 SP2 for Raspberry Pi Oracle Linux 7 Oracle Solaris Red Hat Enterprise Linux for Scientific Computing 7 Red Hat Enterprise Linux Desktop 7 Red Hat Enterprise Linux Server 7 Red Hat Enterprise Linux Server for ARM 7 Red Hat Enterprise Linux Workstation 7 Red Hat Fedora 25 Eine Schwachstelle in OpenLDAP ermöglicht es einem lokalen, einfach authentisierten Angreifer mit der Berechtigung zum Durchsuchen eines Verzeichnisses, mit Hilfe einer speziell präparierten Suchanfrage einen Denial-of-Service-Angriff gegen den Stand-alone LDAP Daemon 'slapd' durchzuführen. Das OpenLDAP Projekt informiert über die Schwachstelle und stellt zur Behebung einen Patch bereit. Patch: OpenLDAP Issue ID 8655 http://www.openldap.org/its/?findid=8655

Patch:

Debian Security Advisory DSA-3868-1

https://www.debian.org/security/2017/dsa-3868

Patch:

Ubuntu Security Notice USN-3307-1

https://www.ubuntu.com/usn/usn-3307-1/

Patch:

SUSE Security Update SUSE-SU-2017:1567-1

http://lists.suse.com/pipermail/sle-security-updates/2017-June/002942.html

Patch:

Fedora Security Update FEDORA-2017-1ca18683e4 (Fedora 25,
openldap-2.4.44-11.fc25)

https://bodhi.fedoraproject.org/updates/FEDORA-2017-1ca18683e4

Patch:

Ubuntu Security Notice USN-3307-2

http://www.ubuntu.com/usn/usn-3307-2/

Patch:

Red Hat Security Advisory RHSA-2017:1852

https://access.redhat.com/errata/RHSA-2017:1852

Patch:

Oracle Linux Security Advisory ELSA-2017-1852

https://linux.oracle.com/errata/ELSA-2017-1852.html

Patch:

openSUSE Security Update openSUSE-SU-2017:2181-1

http://lists.opensuse.org/opensuse-updates/2017-08/msg00063.html

CVE-2017-9287: Schwachstelle in OpenLDAP ermöglicht
Denial-of-Service-Angriff

In ‘servers/slapd/back-mdb/search.c’ in OpenLDAP bis inklusive Version
2.4.44 existiert eine Schwachstelle, die es ermöglicht bereits freigegebenen
Speicher erneut freizugeben (Double Free) und so eine
Speicherschutzverletzung auszulösen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-0934/

OpenLDAP Issue ID 8655:
http://www.openldap.org/its/?findid=8655

Schwachstelle CVE-2017-9287 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-9287

Debian Security Advisory DSA-3868-1:
https://www.debian.org/security/2017/dsa-3868

Ubuntu Security Notice USN-3307-1:
https://www.ubuntu.com/usn/usn-3307-1/

SUSE Security Update SUSE-SU-2017:1567-1:
http://lists.suse.com/pipermail/sle-security-updates/2017-June/002942.html

Fedora Security Update FEDORA-2017-1ca18683e4 (Fedora 25,
openldap-2.4.44-11.fc25):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-1ca18683e4

Ubuntu Security Notice USN-3307-2:
http://www.ubuntu.com/usn/usn-3307-2/

Red Hat Security Advisory RHSA-2017:1852:
https://access.redhat.com/errata/RHSA-2017:1852

Oracle Linux Security Advisory ELSA-2017-1852:
https://linux.oracle.com/errata/ELSA-2017-1852.html

openSUSE Security Update openSUSE-SU-2017:2181-1:
http://lists.opensuse.org/opensuse-updates/2017-08/msg00063.html

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben