DFN-CERT-2013-1004 Schwachstellen in GnuTLS [Linux][RedHat]

DFN-CERT-2013-1004 Schwachstellen in GnuTLS [Linux][RedHat]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Paket gnutls

Betroffene Plattformen:

RHEL Desktop Workstation (v. 5 client) – i386, x86_64
Red Hat Enterprise Linux (v. 5 server) – i386, ia64, ppc, s390x, x86_64
Red Hat Enterprise Linux Desktop (v. 5 client) – i386, x86_64
Red Hat Enterprise Linux Desktop (v. 6) – i386, x86_64
Red Hat Enterprise Linux Desktop Optional (v. 6) – i386, x86_64
Red Hat Enterprise Linux HPC Node (v. 6) – x86_64
Red Hat Enterprise Linux HPC Node Optional (v. 6) – x86_64
Red Hat Enterprise Linux Server (v. 6) – i386, ppc64, s390x, x86_64
Red Hat Enterprise Linux Server Optional (v. 6) – i386, ppc64, s390x,
x86_64
Red Hat Enterprise Linux Workstation (v. 6) – i386, x86_64
Red Hat Enterprise Linux Workstation Optional (v. 6) – i386, x86_64

Schwachstellen in GnuTLS ermöglichen einem entfernten Angreifer
schlimmstenfalls Zugriff auf die verschlüsselt übertragenen Daten zu
erlangen odereinen Denial-of-Service-Angriff gegen den Dienst durchzuführen.

Software Upgrade:

Der Hersteller stellt Updates zur Behebung der Schwachstelle bereit.

https://rhn.redhat.com

CVE-2013-2116: Schwachstelle in GnuTLS

In GnuTLS existiert ein Fehler in der Funktion
_gnutls_ciphertext2compressed(), der zu einem Zugriff auf Speicher außerhalb
der Puffergrenzen (out-of-bound) führt, da der zurückgegebene Wert für die
Padding-Bytes nicht mit der Länge des Chiffretext verglichen wird. Einem
entfernten Angreifer ist es dadurch möglich, den GnuTLS-Dienst zum Absturz
zu bringen.

CVE-2013-1619: Schwachstelle in GnuTLS

Die GnuTLS TLS/SSL Encryption Library enthält eine Schwachstelle bei der
Benutzung des Cipher-Block-Chaining (CBC) Modus. In GnuTLS existieren
Unterschiede im Zeitverhalten bei der Verarbeitung von gültigem und
ungültigem CBC-Padding. Dies ermöglicht einem entfernten Angreifer durch das
Senden von präparierten Paketen und dem anschließenden Auswerten der
Reaktionszeiten, Zugriff auf die verschlüsselt übertragenen Daten zu
erlangen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2013-1004/

Das Hersteller Advisory:
https://rhn.redhat.com/errata/RHSA-2013-0883.html

Schwachstelle CVE-2013-1619:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-1619

Schwachstelle CVE-2013-2116:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-2116

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.

© COMPUTEC MEDIA GmbH
Nach oben