UPDATE: DFN-CERT-2017-1875 jq: Eine Schwachstelle ermöglicht einen Denial-of-Service-Angriff [Linux][SuSE]

UPDATE: DFN-CERT-2017-1875 jq: Eine Schwachstelle ermöglicht einen Denial-of-Service-Angriff [Linux][SuSE]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 2 (08.11.2017):
Für SUSE Enterprise Storage 4 steht ein Sicherheitsupdate für ‘jq’ bereit,
um diese Schwachstelle zu beheben.
Version 1 (24.10.2017):
Neues Advisory

Betroffene Software:

jq

Betroffene Plattformen:

SUSE Package Hub for SUSE Linux Enterprise 12
SUSE Enterprise Storage 4
openSUSE Leap 42.2

Ein entfernter, nicht authentisierter Angreifer kann eine Schwachstelle in
jq mittels einer präparierten JSON-Datei ausnutzen, um einen
Denial-of-Service (DoS)-Zustand zu bewirken.

Für openSUSE Leap 42.2 und SUSE Package Hub for SUSE Linux Enterprise 12
stehen Sicherheitsupdates bereit, um diese Schwachstelle zu beheben.

Patch:

openSUSE Security Update openSUSE-SU-2017:2833-1

http://lists.opensuse.org/opensuse-updates/2017-10/msg00083.html

Patch:

openSUSE Security Update openSUSE-SU-2017:2834-1

http://lists.opensuse.org/opensuse-updates/2017-10/msg00084.html

Patch:

SUSE Security Update SUSE-SU-2017:2950-1

http://lists.suse.com/pipermail/sle-security-updates/2017-November/003382.html

CVE-2016-4074: Schwachstelle in jq ermöglicht Denial-of-Service-Angriff

In der Funktion ‘jv_dump_term’ in jq 1.5 existiert eine Schwachstelle beim
Parsen von JSON-Dateien, durch die es zum vollständigen Verbrauch des
Stack-Speichers (Stack Consumption) und infolgedessen Absturz
(Denial-of-Service, DoS) kommen kann.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-1875/

Schwachstelle CVE-2016-4074 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-4074

openSUSE Security Update openSUSE-SU-2017:2833-1:
http://lists.opensuse.org/opensuse-updates/2017-10/msg00083.html

openSUSE Security Update openSUSE-SU-2017:2834-1:
http://lists.opensuse.org/opensuse-updates/2017-10/msg00084.html

SUSE Security Update SUSE-SU-2017:2950-1:
http://lists.suse.com/pipermail/sle-security-updates/2017-November/003382.html

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben