Liebes Linux-Magazin-Team,
bitte beachten Sie die Informationen zu den verfügbaren Sicherheitsupdates
in der folgenden Sicherheitsmeldung.
Historie:
Version 9 (07.10.20):
Für Oracle Linux 7 steht analog zu RHSA-2020:3915 ein Sicherheitsupdate
zur Behebung der Schwachstelle in ‘libssh2’ bereit.
Version 8 (30.09.20):
Red Hat stellt für Red Hat Enterprise Linux 7 (Server, Workstation,
Desktop, for Scientific Computing) Sicherheitsupdates für ‘libssh2’
bereit, um die Schwachstelle zu beheben. Diese Updates werden im
Zusammenhang mit der Veröffentlichung von Red Hat Enterprise Linux 7.9 zur
Verfügung gestellt.
Version 7 (24.06.20):
Für die SUSE Linux Enterprise Produkte Server for SAP 15, Server 15 LTSS,
High Performance Computing 15 LTSS und ESPOS sowie SUSE Linux Enterprise
Module for Basesystem 15 SP2 stehen Sicherheitsupdates für ‘libssh2_org’
zur Behebung der Schwachstelle bereit.
Version 6 (26.11.19):
Für SUSE Linux Enterprise Debuginfo 11 SP3 steht ein Update bereit, mit
dem die Schwachstelle adressiert wird.
Version 5 (14.11.19):
Für Debian 8 Jessie (LTS) steht ein Sicherheitsupdate von ‘libssh2’ zur
Verfügung.
Version 4 (12.11.19):
openSUSE stellt für die Distribution openSUSE Leap 15.1 ein
Sicherheitsupdate für ‘libssh2_org’ zur Verfügung, um die referenzierte
Schwachstelle zu beheben.
Version 3 (11.11.19):
Für SUSE OpenStack Cloud 7 und 8, SUSE OpenStack Cloud Crowbar 8 sowie die
SUSE Linux Enterprise Produkte Software Development Kit 12 SP4 und 12 SP5,
Server for SAP 12 SP1, 12 SP3 und SP3, Server 12 SP1 LTSS, 12 SP2 BCL /
LTSS, 12 SP3 BCL / LTSS, 12 SP4 und 12 SP5, Desktop 12 SP4 sowie SUSE
Enterprise Storage 5 und SUSE Container-as-a-Service (CaaS) Platform 3.0
stehen Sicherheitsupdates für ‘libssh2_org’ bereit, um die Schwachstelle
zu beheben.
Version 2 (06.11.19):
Für die SUSE Linux Enterprise Produkte Module for Open Buildservice
Development Tools 15 SP1, Module for Basesystem 15 und 15 SP1 sowie Server
11 SP4 LTSS und Debuginfo 11 SP4 stehen Sicherheitsupdates für
‘libssh2_org’ bereit, um die Schwachstelle zu beheben.
Version 1 (04.11.19):
Neues Advisory
Ein entfernter Angreifer kann die Schwachstelle in der Bibliothek libssh2
ausnutzen, um mittels eines speziell präparierten SSH-Servers einen Denial-
of-Service (DoS)-Angriff durchzuführen oder Daten auszuspähen. Ein
erfolgreicher Angriff erfordert die Interaktion eines Benutzers in Form
eines Verbindungsaufbau zu einem manipulierten Server.
Für Fedora 30 und 31 stehen Sicherheitsupdates in Form der Pakete
‘libssh2-1.9.0-3.fc30’ und ‘libssh2-1.9.0-3.fc31’ im Status ‘testing’ zur
Behebung der Schwachstelle bereit.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Schwachstellenarchiv unter:
[https://adv-archiv.dfn-cert.de/adv/2019-2266]
Mit freundlichen Grüßen,
Ihr DFN-CERT Incident Response Team
—
(c) DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen ist auf den Ursprung in
angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für die DFN-CERT
Webseite. https://www.dfn-cert.de/impressum.html
