DFN-CERT-2015-0588 Debian dpkg: Zwei Schwachstellen ermöglichen u. a. einen Denial-of-Service-Angriff [Linux][Fedora]

DFN-CERT-2015-0588 Debian dpkg: Zwei Schwachstellen ermöglichen u. a. einen Denial-of-Service-Angriff [Linux][Fedora]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

dpkg

Betroffene Plattformen:

Red Hat Fedora 20
Red Hat Fedora 21

Durch Ausnutzen dieser Schwachstellen kann ein entfernter, nicht
authentisierter Angreifer Denial-of-Service (DoS)-Angriffe durchführen,
Sicherheitsvorkehrungen umgehen und möglicherweise beliebigen Programmcode
zur Ausführung bringen.

Für Fedora 20 und 21 werden Sicherheitsupdates in Form der Pakete
dpkg-1.16.16-1.fc20, bzw. dpkg-1.16.16-1.fc21 (jeweils im Status “testing”)
zur Verfügung gestellt.

Patch:

Fedora Security Update FEDORA-2015-6417

https://admin.fedoraproject.org/updates/FEDORA-2015-6417/dpkg-1.16.16-1.fc20

Patch:

Fedora Security Update FEDORA-2015-6510

https://admin.fedoraproject.org/updates/FEDORA-2015-6510/dpkg-1.16.16-1.fc21

CVE-2014-8625: Schwachstellen in dpkg erlauben Denial-of-Service

Mehrere Format-String-Schwachstellen existieren in der
“parse_error_msg”-Funktion in parsehelp.c in dpkg bevor 1.17.22. Ein
entfernter, nicht authentisierter Angreifer kann diese Schwachstellen
ausnutzen, über Format-String-Spezifikatoren in den (1) Paket- oder (2)
Architekturnamen, um die Anwendung zum Absturz zu bringen oder
möglicherweise beliebigen Programmcode auszuführen.

CVE-2015-0840: Schwachstelle in dpkg erlaubt das Umgehen von
Sicherheitsvorkehrungen

In dpkg werden Signaturen fehlerhaft überprüft, wenn ein lokales Quellpaket
mittels ‘dpkg-source’ extrahiert wird. Wenn ein Benutzer oder ein
automatisiertes System dazu gebracht wird, ein speziell manipuliertes
Quellpaket zu verarbeiten, kann die Signaturverifikation umgangen werden.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-0588/

Schwachstelle CVE-2014-8625 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-8625

Schwachstelle CVE-2015-0840 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0840

Fedora Security Update FEDORA-2015-6417:
https://admin.fedoraproject.org/updates/FEDORA-2015-6417/dpkg-1.16.16-1.fc20

Fedora Security Update FEDORA-2015-6510:
https://admin.fedoraproject.org/updates/FEDORA-2015-6510/dpkg-1.16.16-1.fc21

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben