Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Cyrus Simple Authentication and Security Layer (SASL) >= 1.5.28
Cyrus Simple Authentication and Security Layer (SASL) <= 2.1.26 Betroffene Plattformen: Canonical Ubuntu Linux 13.04 Debian Linux 8.2 Jessie Eine Schwachstelle in Cyrus SASL ermöglicht einem entfernten, nicht authentifizierten Angreifer durch die Verwendung präparierter Passworte einen Denial-of-Service-Angriff durchzuführen. Debian stellt für die Distribution Jessie (stable) ein Sicherheitsupdate zur Verfügung. Patch: Ubuntu Security Notice USN-1988-1 http://www.ubuntu.com/usn/usn-1988-1/

Patch:

Debian Security Advisory DSA-3368-1

https://www.debian.org/security/2015/dsa-3368

CVE-2013-4122: Schwachstelle in Cyrus SASL ermöglicht
Denial-of-Service-Angriff

Es existiert eine Schwachstelle in Cyrus SASL, die auf eine fehlerhafte
Behandlung von bestimmten, ungültigen ‘password salts’ zurückzuführen ist.
(In der Kryptographie steht Salt (Salz) für eine zufällige Zeichenfolge, die
vor der Erstellung eines Hashwertes dem Klartext hinzugefügt wird, um den
Schutz vor Angriffen zu verbessern.) Durch einen Fehler in einer
Krypto-Funktion kann ein NULL-Zeiger zurückgeliefert werden. Dies ermöglicht
den Dienst in einen Denial-of-Service-Zustand zu versetzen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2013-1857/

Ubuntu Security Notice USN-1988-1:
http://www.ubuntu.com/usn/usn-1988-1/

Schwachstelle CVE-2013-4122 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-4122

Debian Security Advisory DSA-3368-1:
https://www.debian.org/security/2015/dsa-3368

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.