Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Paket libtasn1-3 in Debian GNU/Linux 6.0 (squeeze) vor Version
2.7-1+squeeze+1
Paket libtasn1-3 in Debian GNU/Linux unstable (sid) vor Version 2.12-1

Betroffene Plattformen:

Debian GNU/Linux 6.0 (squeeze)
Debian GNU/Linux unstable (sid)

Durch die fehlerhafte Verwendung der Libtasn1 bestehen Schwachstellen in
Dritt-Anwendungen, die Angreifern u.a. ermöglichen die Anwendung zum Absturz
zu bringen.

Software Upgrade:

Der Hersteller stellt Updates zur Behebung der Schwachstelle bereit.

http://security.debian.org/pool/updates/main/

CVE-2012-1569: Fehlerhafte Verwendung der Libtasn1

Viele Anwendungen, welche die Bibliothek Libtasn1 verwenden, u.a. GnuTLS,
verwenden die Funktion asn1_get_length_der() auf unsichere Weise. Wird der
Rückgabewert eben jener Funktion ohne Überprüfung der Länge des Puffers
weiter verwendet, können Speicherzugriffe außerhalb des allokierten Bereichs
und Abstürze der Anwendung auftreten, welche ggf. von Angreifern ausgelöst
bzw. ausgenutzt werden können.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2012-0544/

Das Hersteller Advisory:
http://www.debian.org/security/2012/dsa-2440

Schwachstelle CVE-2012-1569:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-1569

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.