DFN-CERT-2014-0688 Bibliothek libtasn1: Mehrere Schwachstellen ermöglichen Denial-of-Service-Angriffe und die Ausführung beliebigen Programmcodes [Linux][Fedora]

DFN-CERT-2014-0688 Bibliothek libtasn1: Mehrere Schwachstellen ermöglichen Denial-of-Service-Angriffe und die Ausführung beliebigen Programmcodes [Linux][Fedora]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Libtasn1

Betroffene Plattformen:

Red Hat Fedora 19
Red Hat Fedora 20

Durch mehrere Schwachstellen in libtasn1 Bibliothek ist es einem entfernten,
nicht authentifizierten Angreifer möglich, Denial-of-Service-Angriffe
durchzuführen oder beliebigen Programmcode zur Ausführung zu bringen.

Patch:

Fedora Security Update FEDORA-2014-6895

https://admin.fedoraproject.org/updates/FEDORA-2014-6895/libtasn1-3.6-1.fc20

Patch:

Fedora Security Update FEDORA-2014-6919

https://admin.fedoraproject.org/updates/FEDORA-2014-6919/libtasn1-3.6-1.fc19

CVE-2014-3469: NULL-Pointer-Dereferenzierung in libtasn1

Es existiert eine NULL-Pointer-Dereferenzierung in der
“asn1_read_value_type()” und in der “asn1_read_value()” Funktion der
libtasn1-Bibliothek. Wenn eine Anwendung eine dieser Funktionen mit einem
NULL-Wert als iValue-Argument aufruft, wird eine bestimmte Menge an Speicher
benötigt, um die Daten aus der ASN.1-Eingabe zu speichern. libtasn1 könnte
fälschlicherweise versuchen den NULL-Pointer zu dereferenzieren und somit
die Anwendung zum Absturz zu bringen. Ein entfernter, nicht
authentifizierter Angreifer kann somit einen Denial-of-Service-Angriff
durchführen.

CVE-2014-3468: Schwachstelle in libtasn1

Durch eine Schwachstelle in der “asn1_get_bit_der()” Funktion der
libtasn1-Bibliothek kann es fälschlicherweise zur Rückgabe einer negative
Bitlänge beim Lesen der ASN.1-Eingabe kommen. Dies kann in der Folge zum
Lesen außerhalb des zugeordneten Puffers führen, wodurch ein entfernter,
nicht authentifizierter Angreifer einen Denial-of-Service-Zustand bewirken
oder eventuell beliebigen Programmcode zur Ausführung bringen kann.

CVE-2014-3467: Lesen über Puffergrenzen in libtasn1 bewirkt
Denial-of-Service

Es existiert eine Schwachstelle bei der Prüfung von Puffergrenzen in der
libtasn1-Bibliothek. Hierdurch kann außerhalb des zugeordneten Puffers
gelesen werden. Ein entfernter, nicht authentifizierter Angreifer kann,
durch eine spezielle ASN.1-Eingabe, die Anwendung, die die Bibliothek
verwendet, zum Absturz bringen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-0688/

Fedora Security Update FEDORA-2014-6895:
https://admin.fedoraproject.org/updates/FEDORA-2014-6895/libtasn1-3.6-1.fc20

Fedora Security Update FEDORA-2014-6919:
https://admin.fedoraproject.org/updates/FEDORA-2014-6919/libtasn1-3.6-1.fc19

Schwachstelle CVE-2014-3467 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3467

Schwachstelle CVE-2014-3468 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3468

Schwachstelle CVE-2014-3469 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3469

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.

© COMPUTEC MEDIA GmbH
Nach oben