DFN-CERT-2012-0707 Fehlerhafte Verwendung der Bibliothek Libtasn (MinGW) [Linux][Fedora]

DFN-CERT-2012-0707 Fehlerhafte Verwendung der Bibliothek Libtasn (MinGW) [Linux][Fedora]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Paket mingw32-gnutls
Paket mingw-libtasn1

Betroffene Plattformen:

Fedora 15

Durch die fehlerhafte Verwendung der Libtasn1 in MinGW (Minimale
GNU-Umgebung für Windows) bestehen Schwachstellen, die es Angreifern u.a.
ermöglichen, die Anwendung zum Absturz zu bringen.

Die Minimale GNU-Umgebung für Windows (MinGW) erlaubt die Nutzung der
Bibliotheken Libtasn1 und GnuTLS unter Windows.

Software Upgrade:

Der Hersteller stellt Updates zur Behebung der Schwachstelle bereit.

http://dl.fedoraproject.org/pub/fedora/linux/updates/

CVE-2012-1569: Fehlerhafte Verwendung der Libtasn1

Viele Anwendungen, welche die Bibliothek Libtasn1 vor Version 2.12
verwenden, u.a. GnuTLS, verwenden die Funktion asn1_get_length_der() auf
unsichere Weise. Wird der Rückgabewert eben jener Funktion ohne Überprüfung
der Länge des Puffers weiter verwendet, können Speicherzugriffe außerhalb
des allokierten Bereichs und Abstürze der Anwendung auftreten, welche ggf.
von Angreifern ausgelöst bzw. ausgenutzt werden können.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2012-0707/

Das Hersteller Advisory:
http://lists.fedoraproject.org/pipermail/package-announce/2012-April/078206.html
http://lists.fedoraproject.org/pipermail/package-announce/2012-April/078207.html

Schwachstelle CVE-2012-1569:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-1569

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.

© COMPUTEC MEDIA GmbH
Nach oben