DFN-CERT-2013-1528 Schwachstelle im FreeBSD SCTP Protokoll [Unix][FreeBSD]

DFN-CERT-2013-1528 Schwachstelle im FreeBSD SCTP Protokoll [Unix][FreeBSD]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

sctp-Protokoll

Betroffene Plattformen:

Alle FreeBSD Versionen vor dem Korrekturdatum:
2013-08-15 04:25:16 UTC (stable/9, 9.2-PRERELEASE)
2013-08-15 05:14:20 UTC (releng/9.2, 9.2-RC2)
2013-08-22 00:51:48 UTC (releng/9.1, 9.1-RELEASE-p6)
2013-08-15 04:35:25 UTC (stable/8, 8.4-STABLE)
2013-08-22 00:51:56 UTC (releng/8.4, 8.4-RELEASE-p3)
2013-08-22 00:51:56 UTC (releng/8.3, 8.3-RELEASE-p10)

Eine Schwachstelle im FreeBSD SCTP Protokoll kann schlimmstenfalls zur
Erlangung von sensitiven Informationen führen

Software Upgrade:

Der Hersteller stellt Updates zur Behebung der Schwachstelle bereit.

http://security.freebsd.org/patches/

CVE-2013-5209: Eine Schwachstelle im FreeBSD SCTP Protokoll kann zur
Erlangung von sensitiven Info führen

Eine Schwachstelle im FreeBSD Protokoll SCTP führt dazu, dass bei der
Erstellung des SCTP State Cookie vom Kernel-Stack bereitgestellter Speicher
nicht vollständig initalisiert wird.
Es handelt sich um zwei mal 4 byte pro SCTP Sitzung. Diese Speicherfragmente
können z.B. Benutzerpassworte enthalten.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2013-1528/

Das Hersteller Advisory:
<>

Schwachstelle CVE-2013-5209:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-5209

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.

© COMPUTEC MEDIA GmbH
Nach oben