UPDATE: DFN-CERT-2014-0160 Debian, libgadu: Eine Schwachstelle ermöglicht Denial-of-Service-Angriffe und ggf. Ausführung beliebiger Befehle [Linux][Debian][Fedora]

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 2 (13.02.2014):
Der Hersteller veröffentlicht Updates für Fedora 19 und 20.
Version 1 (10.02.2014):
Neues Advisory

Betroffene Software:

Pidgin <= 2.10.7 Betroffene Plattformen: Debian Linux 6.0.8 Squeeze Debian Linux 7.3 Wheezy Red Hat Fedora 19 Red Hat Fedora 20 Die Schwachstelle ermöglicht einem entfernten, nicht authentifizierten Angreifer durch das Versenden von präparierten HTTP Anfragen einen Denial-of-Service-Zustand zu bewirken und eventuell beliebige Befehle zur Ausführung zu bringen. Patch: Debian Security Advisory DSA-2852-1 http://www.debian.org/security/2014/dsa-2852

Patch:

Fedora 19 Update FEDORA-2014-2341

https://admin.fedoraproject.org/updates/FEDORA-2014-2341/libgadu-1.12.0-0.3.rc2.fc19

Patch:

Fedora 20 Update FEDORA-2014-2391

https://admin.fedoraproject.org/updates/FEDORA-2014-2391/libgadu-1.12.0-0.3.rc2.fc20

CVE-2013-6487: Schwachstelle in Pidgin Gadu Gadu

Eine Schwachstelle in der Implementierung des Gadu Gadu Protokolls führt
dazu, dass die Längenangabe einer HTTP Anfrage nicht korrekt geprüft wird,
wodurch es zu einem Heap-Überlauf und in der Folge zu einem
Denial-of-Service-Zustand kommen kann.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-0160/

Schwachstelle CVE-2013-6487 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-6487

Debian Security Advisory DSA-2852-1:
http://www.debian.org/security/2014/dsa-2852

Fedora 19 Update FEDORA-2014-2341:
https://admin.fedoraproject.org/updates/FEDORA-2014-2341/libgadu-1.12.0-0.3.rc2.fc19

Fedora 20 Update FEDORA-2014-2391:
https://admin.fedoraproject.org/updates/FEDORA-2014-2391/libgadu-1.12.0-0.3.rc2.fc20