DFN-CERT-2014-1216 GNU Lib C: Mehrere Schwachstellen ermöglichen das Ausführen beliebigen Programmcodes und Denial-of-Service-Angriffe [Linux][SuSE]

DFN-CERT-2014-1216 GNU Lib C: Mehrere Schwachstellen ermöglichen das Ausführen beliebigen Programmcodes und Denial-of-Service-Angriffe [Linux][SuSE]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

GNU glibc

Betroffene Plattformen:

SUSE Linux Enterprise Server 11 SP2 LTSS

Es existieren mehrere Schwachstellen, von denen eine einem lokalen, nicht
authentifizierten Angreifer die Ausführung beliebigen Programmcodes
ermöglicht und andere von einem entfernten oder lokalen, nicht
authentisierten Angreifer zu Denial-of-Service-Angriffen genutzt werden
können.
SUSE hat für SUSE Linux Enterprise Server 11 SP2 LTSS ein Sicherheitsupdate
bereitgestellt.

Patch:

SUSE Security Update: SUSE-SU-2014:1129-1

http://lists.opensuse.org/opensuse-security-announce/2014-09/msg00020.html

CVE-2012-6656: Denial-of-Service-Schwachstelle in glibc

Glibc enthält eine Schwachstelle, die bei der Kodierung von IBM930-Code
ungültige Multibyte-Zeichen fehlerhaft auswertet. Ein lokaler, nicht
authentisierter Angreifer kann die Schwachstelle zu einem
Denial-of-Service-Angriff ausnutzen.

CVE-2014-6040: Schwachstelle in GNU Lib C ermöglicht Denial-of-Service

Es existiert eine Schwachstelle in der Codepage Dekodierungsfunktion von GNU
Lib C (glibc). Ein lokaler, nicht authentifizierter Angreifer kann, durch
nicht näher spezifizierte Angriffsvektoren, einen Denial-of-Service-Zustand
verursachen.

CVE-2014-5119: Schwachstelle in EGLIBC/glibc ermöglicht das Ausführen
beliebigen Programmcodes

Es existiert eine Schwachstelle in EGLIBC (Debian’s Version von der GNU C
Bibliothek)/glibc, welche einen Heap-basierten Pufferüberlauf beim Laden des
Transliteration Moduls erzeugt. Ein lokaler, nicht authentifizierter
Angreifer kann, mit Hilfe von manipulierten Zeichen in einer “iconv”
bezogenen Character-Conversation-Funktion, beliebigen Programmcode
ausführen.

CVE-2013-4357: GNU Lib C: Schwachstelle ermöglicht Denial-of-Service

Eine Schwachstelle, die darin besteht, wie die Funktion getaddrinfo() die
Funktion alloca() in der GNU C Library verwendet, führt zu einem
Speicherüberlauf. Ein entfernter, nicht authentisierter Angreifer kann diese
Schwachstelle ausnutzen, um einen Denial-of-Service-Angriff durchzuführen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-1216/

Schwachstelle CVE-2013-4357 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-4357

Schwachstelle CVE-2014-5119 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-5119

Schwachstelle CVE-2014-6040 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-6040

SUSE Security Update: SUSE-SU-2014:1129-1:
http://lists.opensuse.org/opensuse-security-announce/2014-09/msg00020.html

Schwachstelle CVE-2012-6656 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2012-6656

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben