DFN-CERT-2013-1774 GnuPG2: Schwachstellen ermöglichen Denial-of-Service [Linux][Fedora]

DFN-CERT-2013-1774 GnuPG2: Schwachstellen ermöglichen Denial-of-Service [Linux][Fedora]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

GnuPG <= 2.0.21 Red Hat Fedora <= 18 Red Hat Fedora <= 19 Red Hat Fedora <= 20 Betroffene Plattformen: Fedora Linux Die aktuelle Schwachstelle CVE-2013-4402 wird gerade in vielen Distributionen geschlossen. Bei Fedora wurde diese Schwachstelle im GnuPG2-Paket zusammen mit der wesentlich älteren Schwachstelle CVE-2012-6085 geschlossen. Beide ermöglichen unterschiedliche Denial-of-Service-Angriffe durch entfernte, nicht authentifizierte Angreifer. Patch: Fedora Update FEDORA-2013-18647 https://admin.fedoraproject.org/updates/FEDORA-2013-18647/gnupg-1.4.15-1.fc18

Patch:

Fedora Update FEDORA-2013-18676

https://admin.fedoraproject.org/updates/FEDORA-2013-18676/gnupg-1.4.15-1.fc19

Patch:

Fedora Update FEDORA-2013-18543

https://admin.fedoraproject.org/updates/FEDORA-2013-18543/gnupg-1.4.15-1.fc20

Patch:

Fedora Update FEDORA-2013-18866

https://admin.fedoraproject.org/updates/FEDORA-2013-18866/gnupg2-2.0.22-1.fc20

CVE-2012-6085: Schwachstelle beim Import von manipulierten
OpenPGP-Schlüsseln

In GnuPG kann eine Verletzung von Speicherstrukturen beim Import von
manipulierten OpenPGP-Schlüsseln auftreten. Ein entfernter, nicht
authentifizierter Angreifer kann diese Schwachstelle ausnutzen, um GnuPG zum
Absturz zu bringen und den Public-Keyring zu korrumpieren.

CVE-2013-4402: Schwachstelle im GnuPG Paket-Parser

Eine Schwachstelle bei GnuPG im Paket-Parser führt zu einer fehlerhaften
Verarbeitung von komprimierten Daten. Ein entfernter, nicht
authentifizierter Angreifer kann durch präparierte Eingabedaten eine
Endlosschleife erzeugen und einen Denial-of-Service-Zustand verursachen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2013-1774/

Schwachstelle CVE-2013-4402 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-4402

Fedora Update FEDORA-2013-18647:
https://admin.fedoraproject.org/updates/FEDORA-2013-18647/gnupg-1.4.15-1.fc18

Fedora Update FEDORA-2013-18676:
https://admin.fedoraproject.org/updates/FEDORA-2013-18676/gnupg-1.4.15-1.fc19

Fedora Update FEDORA-2013-18543:
https://admin.fedoraproject.org/updates/FEDORA-2013-18543/gnupg-1.4.15-1.fc20

Schwachstelle CVE-2012-6085 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2012-6085

Fedora Update FEDORA-2013-18866:
https://admin.fedoraproject.org/updates/FEDORA-2013-18866/gnupg2-2.0.22-1.fc20

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.

© COMPUTEC MEDIA GmbH
Nach oben