Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Betroffene Software:
GNU GnuTLS
Betroffene Plattformen:
openSUSE 12.3
openSUSE 13.1
Zwei Schwachstellen in GnuTLS ermöglichen einem entfernten, nicht
authentifizierten Angreifer einen Denial-of-Service-Zustand zu verursachen
oder beliebigen Programmcode zur Ausführung zu bringen.
Patch:
GnuTLS team Hersteller-Advisory GNUTLS-SA-2014-3
http://www.gnutls.org/security.html
Patch:
openSUSE Security Advirsory openSUSE-SU-2014:0763-1
http://lists.opensuse.org/opensuse-updates/2014-06/msg00010.html
CVE-2014-3465: Schwachstelle in GnuTLS
Es existiert eine NULL Pointer Dereference in der “gnutls_x509_dn_oid_name”
Funktion. Ein entfernter, nicht authentifizierter Angreifer kann diese
Schwachstelle ausnutzen, um einen Denial-of-Service-Zustand zu verursachen
oder beliebigen Programmcode ausführen.
CVE-2014-3466: Schwachstelle in GnuTLS
Es existiert eine Schwachstelle in der “read_server_hello()” und in der
“_gnutls_read_server_hello()” Funktion beim TLS/SSL Handshake. Die
“session_id_len” wird nicht auf die maximale Session-ID-Länge geprüft. Ein
entfernter, nicht authentifizierter Angreifer kann, durch das Senden einer
extra langen Session ID, einen Pufferüberlauf auslösen und damit einen
Denial-of-Service-Zustand verursachen oder aber die Ausführung beliebigen
Programmcodes bewirken.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-0718/
Schwachstelle CVE-2014-3466 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3466
GnuTLS team Hersteller-Advisory GNUTLS-SA-2014-3:
http://www.gnutls.org/security.html
openSUSE Security Advirsory openSUSE-SU-2014:0763-1:
http://lists.opensuse.org/opensuse-updates/2014-06/msg00010.html
Schwachstelle CVE-2014-3465 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3465
(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.
