UPDATE: DFN-CERT-2015-0672 ICU: Zwei Schwachstellen ermöglichen einen Denial-of-Service-Angriff [Linux][SuSE][Netzwerk]

UPDATE: DFN-CERT-2015-0672 ICU: Zwei Schwachstellen ermöglichen einen Denial-of-Service-Angriff [Linux][SuSE][Netzwerk]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 2 (01.09.2017):
Für die SUSE Linux Enterprise Produkte Desktop, Server, Workstation und
Software Development Kit in den Versionen 12 SP2 und 12 SP3 sowie für SUSE
Linux Enterprise Server for Raspberry Pi 12 SP2, SUSE Container as a
Service Platform ALL und OpenStack Cloud Magnum Orchestration 7 stehen
Sicherheitsupdates für ‘icu’ zur Behebung der beiden Schwachstellen zur
Verfügung. Mittlerweile wird davon ausgegangen, dass sich die
Schwachstellen von einem entfernten, nicht authentisierten Angreifer zur
Ausführung beliebigen Programmcodes ausnutzen lassen.
Version 1 (12.05.2015):
Neues Advisory

Betroffene Software:

International Components for Unicode Library

Betroffene Plattformen:

SUSE Container-as-a-Service-(CaaS)-Plattform ALL
SUSE Linux Enterprise Software Development Kit 12 SP2
SUSE Linux Enterprise Software Development Kit 12 SP3
SUSE Linux Enterprise Workstation Extension 12 SP2
SUSE Linux Enterprise Workstation Extension 12 SP3
SUSE OpenStack Cloud 7
Canonical Ubuntu Linux 14.04 Lts
Canonical Ubuntu Linux 14.10
Canonical Ubuntu Linux 15.04
SUSE Linux Enterprise Desktop 12 SP2
SUSE Linux Enterprise Desktop 12 SP3
SUSE Linux Enterprise Server 12 SP2
SUSE Linux Enterprise Server 12 SP2 for Raspberry Pi
SUSE Linux Enterprise Server 12 SP3

Durch zwei Schwachstellen in ICU ist es einem lokalen, nicht
authentifizierten Angreifer möglich, Anwendungen abstürzen zu lassen oder
möglicherweise beliebigen Programmcode mit den Rechten des Benutzers der
Anwendungen auszuführen.

Canonical stellt Backport-Sicherheitsupdates für Ubuntu 15.04 (vivid), 14.10
und 14.04 LTS bereit.

Patch:

Ubuntu Security Notice USN-2605-1

http://www.ubuntu.com/usn/usn-2605-1/

Patch:

SUSE Security Update SUSE-SU-2017:2318-1

http://lists.suse.com/pipermail/sle-security-updates/2017-August/003176.html

CVE-2014-8147: Schwachstelle in ICU ermöglicht Denial-of-Service-Angriff

In ubidi.c kann es aufgrund einer inkorrekten Typ-Verwendung in der Funktion
resolveImplicitLevels zu einem Integer-Überlauf kommen, der anschließend zu
Fehlern in der Speicherverwaltung führt. Ein entfernter, nicht
authentifizierter Angreifer kann diese Schwachstelle ausnutzen, um die
Anwendung abstürzen zu lassen oder möglicherweise beliebigen Programmcode
mit den Rechten des Benutzers der Anwendung ausführen zu lassen.

CVE-2014-8146: Schwachstelle in ICU ermöglicht Denial-of-Service-Angriff

In ubidi.c kommt es zu einem Speicherüberlauf, wenn unter bestimmten
Bedingungen der Zähler isolateCount zu oft erhöht wird. Als Resultat wird in
Speicher außerhalb von Puffergrenzen geschrieben. Ein entfernter, nicht
authentifizierter Angreifer kann diese Schwachstelle ausnutzen, um die
Anwendung abstürzen zu lassen oder möglicherweise beliebigen Programmcode
mit den Rechten des Benutzers der Anwendung ausführen zu lassen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-0672/

Ubuntu Security Notice USN-2605-1:
http://www.ubuntu.com/usn/usn-2605-1/

Schwachstelle CVE-2014-8146 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-8146

Schwachstelle CVE-2014-8147 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-8147

SUSE Security Update SUSE-SU-2017:2318-1:
http://lists.suse.com/pipermail/sle-security-updates/2017-August/003176.html

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben