Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

GNU Lib C < 2.26 Betroffene Plattformen: Red Hat Fedora 26 Ein entfernter, nicht authentisierter Angreifer kann eine Schwachstelle in GNU Lib C ausnutzen, um falsche DNS Informationen (DNS Spoofing) darzustellen und Benutzer darüber in die Irre führen. Die Schwachstelle kann als Ausgangspunkt für weitere Angriffe ausgenutzt werden, um beispielsweise Zugangsdaten zu Webanwendungen auszuspähen. Für Fedora 26 steht das Paket 'glibc-2.25-8.fc26' als Backport-Sicherheitsupdate im Status 'stable' bereit. Patch: Fedora Security Update FEDORA-2017-92f8958310 (Fedora 26, glibc-2.25-8) https://bodhi.fedoraproject.org/updates/FEDORA-2017-92f8958310

CVE-2017-12132: Schwachstelle in GNU Lib C ermöglicht Darstellen falscher
Informationen

Der DNS Stub Resolver in GNU Lib C erbittet große UDP-Antworten von
Namensservern, wenn die Extended DNS-Unterstützung (EDNS) aktiviert ist.
Dies vereinfacht wegen der daraus resultierenden IP-Fragmentierung die
Durchführung von ‘Off-Path-DNS-Spoofing-Angriffen’, bei denen ein Angreifer
nicht die Anfrage kennen muss, gegen die sich der Angriff richtet.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-1446/

Schwachstelle CVE-2017-12132 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-12132

Fedora Security Update FEDORA-2017-92f8958310 (Fedora 26, glibc-2.25-8):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-92f8958310

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.