Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Historie:
Version 5 (30.01.2014):
Patch für SUSE Linux Enterprise SDK 11SP2/3 und Studio Onsite 1.3
verfügbar.
Version 4 (16.12.2013):
Patch für openSUSE 12.2 und 12.3 ist verfügbar.
Version 3 (08.12.2013):
Patch für openSUSE 13.1 ist verfügbar.
Version 2 (03.12.2013):
Für Fedora 20 steht ein Paket zur Verfügung, das die Schwachstellen
behebt.
Version 1 (27.11.2013):
Neues Advisory
Betroffene Software:
Apache Subversion <= 1.7.13 Apache Subversion <= 1.8.4 Betroffene Plattformen: Novell SUSE Software Development Kit 11 SP2 Enterprise Novell SUSE Software Development Kit 11 SP3 Enterprise SUSE Studio Onsite 1.3 openSUSE <= 11.4 openSUSE 12.2 openSUSE 12.3 openSUSE 13.1 Red Hat Fedora 18 Red Hat Fedora 19 Red Hat Fedora 20 Zwei Schwachstellen in Apache-Modulen von Subversionen ermöglichen einem entfernten Angreifer, einen Denial-of-Service-Zustand herbeizuführen. Patch: Apache Subversion Security Advisory zu CVE-2013-4558 https://subversion.apache.org/security/CVE-2013-4558-advisory.txt
Patch:
Apache Subversion Security Advisory zu CVE-2013-4505
https://subversion.apache.org/security/CVE-2013-4505-advisory.txt
Patch:
Fedora Security Update FEDORA-2013-22208
https://admin.fedoraproject.org/updates/FEDORA-2013-22208/subversion-1.7.14-1.fc19
Patch:
Fedora Security Update FEDORA-2013-22575
https://admin.fedoraproject.org/updates/FEDORA-2013-22575/subversion-1.8.5-2.fc20
Patch:
Fedora Security Update FEDORA-2013-22313
https://admin.fedoraproject.org/updates/FEDORA-2013-22313/subversion-1.7.14-1.fc18
Patch:
openSUSE-SU-2013:1836-1
http://lists.opensuse.org/opensuse-updates/2013-12/msg00029.html
Patch:
openSUSE-SU-2013:1860-1
http://lists.opensuse.org/opensuse-updates/2013-12/msg00048.html
Patch:
SUSE-SU-2014:0129-1
https://www.suse.com/support/update/announcement/2014/suse-su-20140129-1.html
CVE-2013-4558: Schwachstelle im Apache-Modul mod_dav_svn von Subversion
Im Apache-Modul mod_dav_svn von Subversion kommt es bei Verarbeitung von
bestimmten Anfragen zu einer ‘Assertion’, falls automatische Versionierung
aktiviert ist. Dies ermöglicht einem entfernten Angreifer durch das Stellen
dieser bestimmten Anfragen einen Denial-of-Service-Zustand herbeizuführen.
CVE-2013-4505: Schwachstelle im Apache-Modul mod_dontdothat von Subversion
Das Apache-Modul mod_dontdothat von Subversion versäumt es, Anfragen von
bestimmten Clients zu blockieren. Dies ermöglicht einem entfernten Angreifer
durch unerlaubte Anfragen eine hohe Last zu erzeugen und somit einen
Denial-of-Service-Zustand herbeizuführen.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2013-1989/
Apache Subversion Security Advisory zu CVE-2013-4558:
https://subversion.apache.org/security/CVE-2013-4558-advisory.txt
Schwachstelle CVE-2013-4505 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-4505
Schwachstelle CVE-2013-4558 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-4558
Apache Subversion Security Advisory zu CVE-2013-4505:
https://subversion.apache.org/security/CVE-2013-4505-advisory.txt
Fedora Security Update FEDORA-2013-22208:
https://admin.fedoraproject.org/updates/FEDORA-2013-22208/subversion-1.7.14-1.fc19
Fedora Security Update FEDORA-2013-22575:
https://admin.fedoraproject.org/updates/FEDORA-2013-22575/subversion-1.8.5-2.fc20
Fedora Security Update FEDORA-2013-22313:
https://admin.fedoraproject.org/updates/FEDORA-2013-22313/subversion-1.7.14-1.fc18
openSUSE-SU-2013:1836-1:
http://lists.opensuse.org/opensuse-updates/2013-12/msg00029.html
openSUSE-SU-2013:1860-1:
http://lists.opensuse.org/opensuse-updates/2013-12/msg00048.html
SUSE-SU-2014:0129-1:
https://www.suse.com/support/update/announcement/2014/suse-su-20140129-1.html
(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.
