UPDATE: DFN-CERT-2014-0153 Mumble: Schwachstellen ermöglichen Ausführung beliebiger Befehle [Linux][Debian][SuSE]

UPDATE: DFN-CERT-2014-0153 Mumble: Schwachstellen ermöglichen Ausführung beliebiger Befehle [Linux][Debian][SuSE]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 2 (24.02.2014):
In openSUSE 12.3 und 13.1 werden die Schwachstellen ebenfalls behoben.
Version 1 (07.02.2014):
Neues Advisory

Betroffene Software:

Debian Linux 7.3 Wheezy
openSUSE 12.3
openSUSE 13.1

Betroffene Plattformen:

Debian Linux
openSUSE

Ein entfernter Angreifer kann diese Schwachstellen ausnutzen, um den Client
zum Absturz zu bringen oder beliebige Befehle zur Ausführung zu bringen.

Patch:

Debian Security Advisory DSA-2854

http://www.debian.org/security/2014/dsa-2854

Patch:

openSUSE Security Update: openSUSE-SU-2014:0271-1

http://lists.opensuse.org/opensuse-updates/2014-02/msg00063.html

CVE-2014-0045: Schwachstelle in Mumble ermöglicht Ausführung beliebiger
Befehle

In Mumble kann es bei der Verarbeitung eines Opus-Sprach-Paketes zu einem
Buffer Overflow auf dem Heap kommen. Dies ermöglicht einem entfernten
Angreifer durch das Senden eines präparierten Opus-Sprach-Paketes den
Mumble-Client zum Absturz zu bringen oder beliebige Befehle mit den Rechten
des Clients zur Ausführung zu bringen.

CVE-2014-0044: Schwachstelle in Mumble ermöglicht Denial-of-Service

In Mumble kann es bei der Verarbeitung eines Opus-Sprach-Paketes zu einer
Dereferenzierung eines Null-Pointers oder zu einem Speicherzugriff außerhalb
der Puffergrenzen kommen. Dies ermöglicht einem entfernten Angreifer durch
das Senden eines präparierten Opus-Sprach-Paketes den Mumble-Client zum
Absturz zu bringen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-0153/

Debian Security Advisory DSA-2854:
http://www.debian.org/security/2014/dsa-2854

Schwachstelle CVE-2014-0045 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0045

Schwachstelle CVE-2014-0044 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0044

openSUSE Security Update: openSUSE-SU-2014:0271-1:
http://lists.opensuse.org/opensuse-updates/2014-02/msg00063.html

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.

© COMPUTEC MEDIA GmbH
Nach oben