Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Apache Software Foundation Xerces-C 3.1.3

Betroffene Plattformen:

Debian Linux 8.4 Jessie
Debian Linux 9.0 Stretch

Ein entfernter, nicht authentifizierter Angreifer kann mit Hilfe speziell
präparierter XML-Daten einen Ausnahmefehler erzeugen, der zum Zugriff auf
bereits freigegebene Speicherbereiche führt. Dadurch können ein
Denial-of-Service (DoS)-Zustand ausgelöst und möglicherweise weitere
Angriffe durchgeführt werden.

Debian stellt für die Distributionen Jessie (stable) und Stretch (testing)
Sicherheitsupdates bereit.

Patch:

Debian Security Advisory DSA-3579-1

https://www.debian.org/security/2016/dsa-3579

CVE-2016-2099: Schwachstelle in Xerces-C ermöglicht
Denial-of-Service-Angriff

Im DTD-Scanner in Xerces-C wird eine Ausnahme (Exception) falsch behandelt,
wenn beim vorausschauenden Zugriff auf das folgende Zeichen einer zu
verarbeitenden Zeichenkette (Peeking) durch die XMLReader-Klasse ein
ungültiges Zeichen erkannt wird. Der resultierende Ausnahmefehler kann auf
unsichere Weise an den Exception Handler einer höheren Ebene transferiert
werden, der dadurch auf bereits freigegebene Speicherbereiche zugreift
(Use-after-free).

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2016-0780/

Schwachstelle CVE-2016-2099 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-2099

Debian Security Advisory DSA-3579-1:
https://www.debian.org/security/2016/dsa-3579

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.