Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 3 (24.11.2017):
Für die SUSE Linux Enterprise Produkte Software Development Kit und
Debuginfo in der Version 11 SP4 stehen Sicherheitsupdates für ‘mxml’
bereit.
Version 2 (28.03.2017):
Für die Distributionen openSUSE Leap 42.1 und openSUSE Leap 42.2 stehen
Sicherheitsupdates zur Behebung der beiden Schwachstellen bereit.
Version 1 (13.06.2016):
Neues Advisory

Betroffene Software:

Mini-XML < 2.10 Betroffene Plattformen: SUSE Linux Enterprise Debuginfo 11 SP4 SUSE Linux Enterprise Software Development Kit 11 SP4 openSUSE Leap 42.1 openSUSE Leap 42.2 Red Hat Fedora 24 Zwei Schwachstellen in Mini-XML vor Version 2.10 ermöglichen einem entfernten, nicht authentifizierten Angreifer das Durchführen von Denial-of-Service-Angriffen mit Hilfe speziell präparierter XML-Daten. Für Fedora 24 steht mit dem Paket 'mxml-2.9-1.fc24' ein Backport-Sicherheitsupdate auf Mini-XML 2.9 im Status 'testing' bereit. Patch: Fedora Security Update FEDORA-2016-44821f9576 (Fedora 24) https://bodhi.fedoraproject.org/updates/FEDORA-2016-44821f9576

Patch:

openSUSE Security Update openSUSE-SU-2017:0815-1

http://lists.opensuse.org/opensuse-updates/2017-03/msg00081.html

Patch:

SUSE Security Update SUSE-SU-2017:3060-1

http://lists.suse.com/pipermail/sle-security-updates/2017-November/003406.html

CVE-2016-4571: Schwachstelle in Mini-XML ermöglicht
Denial-of-Service-Angriff

Es existiert eine nicht näher beschriebene Schwachstelle in der rekursiven
Funktion ‘mxml_write_node’ in Mini-XML, durch die mittels eines präparierten
Dokumentes der Stack-Speicher aufgebraucht und das Programm zum Absturz
gebracht werden kann (Denial-of-Service). Ein entfernter, nicht
authentifizierter Angreifer kann einen Denial-of-Service-Angriff
durchführen.

CVE-2016-4570: Schwachstelle in Mini-XML ermöglicht
Denial-of-Service-Angriff

Es existiert eine nicht näher beschriebene Schwachstelle in der rekursiven
Funktion ‘mxmlDelete’ in Mini-XML, durch die mittels eines präparierten
Dokumentes der Stack-Speicher aufgebraucht und das Programm zum Absturz
gebracht werden kann (Denial-of-Service). Ein entfernter, nicht
authentifizierter Angreifer kann einen Denial-of-Service-Angriff
durchführen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2016-0939/

Fedora Security Update FEDORA-2016-44821f9576 (Fedora 24):
https://bodhi.fedoraproject.org/updates/FEDORA-2016-44821f9576

Schwachstelle CVE-2016-4570 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-4570

Schwachstelle CVE-2016-4571 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-4571

openSUSE Security Update openSUSE-SU-2017:0815-1:
http://lists.opensuse.org/opensuse-updates/2017-03/msg00081.html

SUSE Security Update SUSE-SU-2017:3060-1:
http://lists.suse.com/pipermail/sle-security-updates/2017-November/003406.html

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 2 (28.03.2017):
Für die Distributionen openSUSE Leap 42.1 und openSUSE Leap 42.2 stehen
Sicherheitsupdates zur Behebung der beiden Schwachstellen bereit.
Version 1 (13.06.2016):
Neues Advisory

Betroffene Software:

Mini-XML < 2.10 Betroffene Plattformen: openSUSE Leap 42.1 openSUSE Leap 42.2 Red Hat Fedora 24 Zwei Schwachstellen in Mini-XML vor Version 2.10 ermöglichen einem entfernten, nicht authentifizierten Angreifer das Durchführen von Denial-of-Service-Angriffen mit Hilfe speziell präparierter XML-Daten. Für Fedora 24 steht mit dem Paket 'mxml-2.9-1.fc24' ein Backport-Sicherheitsupdate auf Mini-XML 2.9 im Status 'testing' bereit. Patch: Fedora Security Update FEDORA-2016-44821f9576 (Fedora 24) https://bodhi.fedoraproject.org/updates/FEDORA-2016-44821f9576

Patch:

openSUSE Security Update openSUSE-SU-2017:0815-1

http://lists.opensuse.org/opensuse-updates/2017-03/msg00081.html

CVE-2016-4571: Schwachstelle in Mini-XML ermöglicht
Denial-of-Service-Angriff

Es existiert eine nicht näher beschriebene Schwachstelle in der rekursiven
Funktion ‘mxml_write_node’ in Mini-XML, durch die mittels eines präparierten
Dokumentes der Stack-Speicher aufgebraucht und das Programm zum Absturz
gebracht werden kann (Denial-of-Service). Ein entfernter, nicht
authentifizierter Angreifer kann einen Denial-of-Service-Angriff
durchführen.

CVE-2016-4570: Schwachstelle in Mini-XML ermöglicht
Denial-of-Service-Angriff

Es existiert eine nicht näher beschriebene Schwachstelle in der rekursiven
Funktion ‘mxmlDelete’ in Mini-XML, durch die mittels eines präparierten
Dokumentes der Stack-Speicher aufgebraucht und das Programm zum Absturz
gebracht werden kann (Denial-of-Service). Ein entfernter, nicht
authentifizierter Angreifer kann einen Denial-of-Service-Angriff
durchführen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2016-0939/

Fedora Security Update FEDORA-2016-44821f9576 (Fedora 24):
https://bodhi.fedoraproject.org/updates/FEDORA-2016-44821f9576

Schwachstelle CVE-2016-4570 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-4570

Schwachstelle CVE-2016-4571 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-4571

openSUSE Security Update openSUSE-SU-2017:0815-1:
http://lists.opensuse.org/opensuse-updates/2017-03/msg00081.html

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.