DFN-CERT-2013-1342 Mehrere Schwachstellen in den Bibliotheken libzrtpcpp, oRTP und in Twinkle [Linux][Fedora]

DFN-CERT-2013-1342 Mehrere Schwachstellen in den Bibliotheken libzrtpcpp, oRTP und in Twinkle [Linux][Fedora]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Pakete libzrtpcpp, ortp, twinkle

Betroffene Plattformen:

Fedora 17
Fedora 18

Mehrere Schwachstellen in den Bibliotheken libzrtpcpp, oRTP und in Twinkle
ermöglichen einem entfernten Angreifer schlimmstenfalls beliebige Befehle
zur Ausführung zu bringen.

Software Upgrade:

Der Hersteller stellt Updates zur Behebung der Schwachstelle bereit.

http://dl.fedoraproject.org/pub/fedora/linux/updates/

CVE-2013-2223: Schwachstellen in der Bibliothek libzrtpcpp

Die Bibliothek libzrtpcpp verarbeitet abgeschnittene ZRTP-Ping-Pakete nicht
fehlerfrei. Dies ermöglicht einem entfernten Angreifer durch das
Bereitstellen von präparierten ZRTP-Ping-Paketen Zugriff auf vertrauliche
Daten aus dem Heap zu erlangen.

CVE-2013-2222: Schwachstellen in der Bibliothek libzrtpcpp

Die Bibliothek libzrtpcpp enthält beim Verarbeiten von bestimmten
ZRTP-Hello-Paketen, welche übergroße Werte in bestimmten Feldern enthalten,
mehrere Buffer Overflows auf dem Stack. Dies ermöglicht einem entfernten
Angreifer durch das Bereitstellen von präparierten ZRTP-Paketen die
Anwendung, welche die Bibliothek verwendet, zum Absturz zu bringen.

CVE-2013-2221: Schwachstellen in der Bibliothek libzrtpcpp

Die Bibliothek libzrtpcpp enthält beim Verarbeiten von übergroßen
ZRTP-Paketen unterschiedlicher Typen einen Buffer Overflow auf dem Heap.
Dies ermöglicht einem entfernten Angreifer die Anwendung, welche die
Bibliothek verwendet, zum Absturz zu bringen oder schlimmstenfalls beliebige
Befehle zur Ausführung zu bringen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2013-1342/

Das Hersteller Advisory:
http://lists.fedoraproject.org/pipermail/package-announce/2013-July/112435.html
http://lists.fedoraproject.org/pipermail/package-announce/2013-July/112416.html
http://lists.fedoraproject.org/pipermail/package-announce/2013-July/112417.html
http://lists.fedoraproject.org/pipermail/package-announce/2013-July/112415.html
http://lists.fedoraproject.org/pipermail/package-announce/2013-July/112434.html
http://lists.fedoraproject.org/pipermail/package-announce/2013-July/112436.html

Schwachstelle CVE-2013-2221:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-2221

Schwachstelle CVE-2013-2222:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-2222

Schwachstelle CVE-2013-2223:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-2223

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.

© COMPUTEC MEDIA GmbH
Nach oben