Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 3 (17.02.2014):
Für Fedora EPEL 5 und 6 werden Sicherheitsupdates zur Verfügung gestellt.
Version 2 (05.02.2014):
Für die Ubuntu Versionen 13.10, 12.10 und 12.04 LTS werden
Sicherheitsupdates zur Verfügung gestellt.
Version 1 (03.02.2014):
Neues Advisory

Betroffene Software:

libyaml <= 0.1.4 Betroffene Plattformen: Canonical Ubuntu Linux Canonical Ubuntu Linux 12.04 Lts Canonical Ubuntu Linux 12.10 Canonical Ubuntu Linux 13.10 Debian Linux Debian Linux 6.0.8 Squeeze Debian Linux 7.3 Wheezy Debian Linux 8.0 Jessie Red Hat Fedora Red Hat Fedora 19 Red Hat Fedora 20 Extra Packages for Red Hat Enterprise Linux 5 Extra Packages for Red Hat Enterprise Linux 6 Ein entfernter Angreifer kann diese Schwachstelle ausnutzen, um die Anwendung, welche die Bibliothek verwendet, zum Absturz oder beliebige Befehle mit den Rechten der Anwendung zur Ausführung zu bringen. Patch: Debian Security Advisory DSA-2850 http://www.debian.org/security/2014/dsa-2850

Patch:

Fedora Update FEDORA-2014-1851

https://admin.fedoraproject.org/updates/FEDORA-2014-1851/libyaml-0.1.4-6.fc20

Patch:

Fedora Update FEDORA-2014-1817

https://admin.fedoraproject.org/updates/FEDORA-2014-1817/libyaml-0.1.4-6.fc19

Patch:

Ubuntu Security Advisory USN-2098-1

http://www.ubuntu.com/usn/usn-2098-1/

Patch:

Fedora EPEL Update FEDORA-EPEL-2014-0525

https://admin.fedoraproject.org/updates/FEDORA-EPEL-2014-0525/libyaml-0.1.5-1.el6

Patch:

Fedora EPEL Update FEDORA-EPEL-2014-0531

https://admin.fedoraproject.org/updates/FEDORA-EPEL-2014-0531/libyaml-0.1.2-6.el5

CVE-2013-6393: Buffer Overflow Schachstelle in der Bibliothek libyaml

In der Bibliothek libyaml kann es beim Parsen von YAML-Tags zu einem Buffer
Overflow auf dem Heap kommen. Dies ermöglicht einem entfernten Angreifer
durch das Bereitstellen eines präparierten YAML-Dokumentes die Anwendung,
welche die Bibliothek verwendet, zum Absturz zu bringen oder beliebige
Befehle mit den Rechten der Anwendung zur Ausführung zu bringen.
Voraussetzung dafür ist, dass das YAML-Dokument von einer betroffenen
libyaml Bibliothek verarbeitet wird.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-0131/

Schwachstelle CVE-2013-6393 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-6393

Debian Security Advisory DSA-2850:
http://www.debian.org/security/2014/dsa-2850

Fedora Update FEDORA-2014-1851:
https://admin.fedoraproject.org/updates/FEDORA-2014-1851/libyaml-0.1.4-6.fc20

Fedora Update FEDORA-2014-1817:
https://admin.fedoraproject.org/updates/FEDORA-2014-1817/libyaml-0.1.4-6.fc19

Ubuntu Security Advisory USN-2098-1:
http://www.ubuntu.com/usn/usn-2098-1/

Fedora EPEL Update FEDORA-EPEL-2014-0525:
https://admin.fedoraproject.org/updates/FEDORA-EPEL-2014-0525/libyaml-0.1.5-1.el6

Fedora EPEL Update FEDORA-EPEL-2014-0531:
https://admin.fedoraproject.org/updates/FEDORA-EPEL-2014-0531/libyaml-0.1.2-6.el5

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 2 (05.02.2014):
Für die Ubuntu Versionen 13.10, 12.10 und 12.04 LTS werden
Sicherheitsupdates zur Verfügung gestellt.
Version 1 (03.02.2014):
Neues Advisory

Betroffene Software:

Canonical Ubuntu Linux 12.04 Lts
Canonical Ubuntu Linux 12.10
Canonical Ubuntu Linux 13.10
Debian Linux 6.0.8 Squeeze
Debian Linux 7.3 Wheezy
Debian Linux 8.0 Jessie
Red Hat Fedora 19
Red Hat Fedora 20

Betroffene Plattformen:

Canonical Ubuntu Linux
Debian Linux
Red Hat Fedora

Ein entfernter Angreifer kann diese Schwachstelle ausnutzen, um die
Anwendung, welche die Bibliothek verwendet, zum Absturz oder beliebige
Befehle mit den Rechten der Anwendung zur Ausführung zu bringen.

Patch:

Debian Security Advisory DSA-2850

http://www.debian.org/security/2014/dsa-2850

Patch:

Fedora Update FEDORA-2014-1851

https://admin.fedoraproject.org/updates/FEDORA-2014-1851/libyaml-0.1.4-6.fc20

Patch:

Fedora Update FEDORA-2014-1817

https://admin.fedoraproject.org/updates/FEDORA-2014-1817/libyaml-0.1.4-6.fc19

Patch:

Ubuntu Security Advisory USN-2098-1

http://www.ubuntu.com/usn/usn-2098-1/

CVE-2013-6393: Buffer Overflow Schachstelle in der Bibliothek libyaml

In der Bibliothek libyaml kann es beim Parsen von YAML-Tags zu einem Buffer
Overflow auf dem Heap kommen. Dies ermöglicht einem entfernten Angreifer
durch das Bereitstellen eines präparierten YAML-Dokumentes die Anwendung,
welche die Bibliothek verwendet, zum Absturz zu bringen oder beliebige
Befehle mit den Rechten der Anwendung zur Ausführung zu bringen.
Voraussetzung dafür ist, dass das YAML-Dokument von einer betroffenen
libyaml Bibliothek verarbeitet wird.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-0131/

Schwachstelle CVE-2013-6393 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-6393

Debian Security Advisory DSA-2850:
http://www.debian.org/security/2014/dsa-2850

Fedora Update FEDORA-2014-1851:
https://admin.fedoraproject.org/updates/FEDORA-2014-1851/libyaml-0.1.4-6.fc20

Fedora Update FEDORA-2014-1817:
https://admin.fedoraproject.org/updates/FEDORA-2014-1817/libyaml-0.1.4-6.fc19

Ubuntu Security Advisory USN-2098-1:
http://www.ubuntu.com/usn/usn-2098-1/

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.