Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Historie:
Version 4 (30.10.2017):
Für openSUSE Leap 42.2 und openSUSE Leap 42.3 stehen Sicherheitsupdates
für ‘gcc48’ bereit, um die Schwachstelle zu beheben und sechs Korrekturen
umzusetzen.
Version 3 (20.09.2017):
Für die SUSE Linux Enterprise 12 SP2 und 12 SP3 Produkte Workstation
Extension, Software Development Kit, Server und Desktop sowie Server for
SAP 12 SP1, Server for Raspberry Pi 12 SP2, Server 12 LTSS und Server 12
SP1 LTSS sowie SUSE OpenStack Cloud 6 stehen Sicherheitsupdates für
‘gcc48’ bereit, um die Schwachstelle zu beheben.
Version 2 (07.09.2017):
Für die SUSE Linux Enterprise Produkte Software Development Kit und
Debuginfo in Version 11 SP4 stehen zur Behebung der Schwachstelle
Sicherheitsupdates für ‘gcc48’ bereit.
Version 1 (31.07.2017):
Neues Advisory
Betroffene Software:
GNU gcc < 6.2.1 Betroffene Plattformen: SUSE Linux Enterprise Debuginfo 11 SP4 SUSE Linux Enterprise Software Development Kit 11 SP4 SUSE Linux Enterprise Software Development Kit 12 SP2 SUSE Linux Enterprise Software Development Kit 12 SP3 SUSE Linux Enterprise Workstation Extension 12 SP2 SUSE Linux Enterprise Workstation Extension 12 SP3 SUSE OpenStack Cloud 6 openSUSE Leap 42.2 openSUSE Leap 42.3 SUSE Linux Enterprise Desktop 12 SP2 SUSE Linux Enterprise Desktop 12 SP3 SUSE Linux Enterprise Server 12 LTSS SUSE Linux Enterprise Server 12 SP1 LTSS SUSE Linux Enterprise Server for SAP 12 SP1 SUSE Linux Enterprise Server 12 SP2 SUSE Linux Enterprise Server 12 SP2 for Raspberry Pi SUSE Linux Enterprise Server 12 SP3 Red Hat Fedora 25 Ein lokaler, nicht authentisierter Angreifer kann die Schwachstelle ausnutzen, um fehlerhaften Programmcode zu erstellen, der in der Folge nicht als fehlerhaft erkannt wird. Für Fedora 25 stehen Sicherheitsudpates für 'gcc' auf Version 6.4.1 im Status 'testing' bereit. Gleichzeitig werden die Pakete 'gcc-python-plugin' und 'libtool' aktualisiert. Patch: Fedora Security Update FEDORA-2017-32a4a94c72 (Fedora 25, gcc-6.4.1-1, gcc-python-plugin-0.15-8.2, libtool-2.4.6-14) https://bodhi.fedoraproject.org/updates/FEDORA-2017-32a4a94c72
Patch:
SUSE Security Update SUSE-SU-2017:2380-1
http://lists.suse.com/pipermail/sle-security-updates/2017-September/003190.html
Patch:
SUSE Security Update SUSE-SU-2017:2526-1
http://lists.suse.com/pipermail/sle-security-updates/2017-September/003249.html
Patch:
openSUSE Security Update openSUSE-SU-2017:2901-1
http://lists.opensuse.org/opensuse-updates/2017-10/msg00117.html
CVE-2017-11671: Schwachstelle in GNU Compiler Collection (GCC) ermöglicht
Umgehen von Sicherheitsvorkehrungen
Das ‘Success Bit’ (CF) für RDSEED wird von GCC bei der Kompilierung unter
Umständen falsch verwendet, wodurch Programmcode im Zusammenhang mit der
Generierung von Zufallszahlen fehlerhaft erstellt wird. Dies hat zur Folge,
dass das ‘Status Flag’ intrinsischer Funktionen von RDRAND und RDSEED vor
dem Auslesen möglicherweise überschrieben wird, so dass Fehler in diesem
Zusammenhang unbemerkt bleiben.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-1316/
Schwachstelle CVE-2017-11671 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-11671
Fedora Security Update FEDORA-2017-32a4a94c72 (Fedora 25, gcc-6.4.1-1,
gcc-python-plugin-0.15-8.2, libtool-2.4.6-14):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-32a4a94c72
SUSE Security Update SUSE-SU-2017:2380-1:
http://lists.suse.com/pipermail/sle-security-updates/2017-September/003190.html
SUSE Security Update SUSE-SU-2017:2526-1:
http://lists.suse.com/pipermail/sle-security-updates/2017-September/003249.html
openSUSE Security Update openSUSE-SU-2017:2901-1:
http://lists.opensuse.org/opensuse-updates/2017-10/msg00117.html
(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.
