DFN-CERT-2016-1398 GnuPG Libksba: Eine Schwachstelle ermöglicht einen Denial-of-Service-Angriff und das Ausspähen von Informationen [Linux][Fedora]

DFN-CERT-2016-1398 GnuPG Libksba: Eine Schwachstelle ermöglicht einen Denial-of-Service-Angriff und das Ausspähen von Informationen [Linux][Fedora]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

GnuPG Libksba <= 1.3.4 Betroffene Plattformen: Red Hat Fedora 23 Red Hat Fedora 24 Red Hat Fedora 25 Ein entfernter, nicht authentisierter Angreifer kann eine Schwachstelle in der Bibliothek Libksba ausnutzen, mittels eines präparierten Zertifikates, welches von Libksba gelesen wird, um einen Denial-of-Service (DoS)-Angriff durchzuführen oder sensitive Daten auszuspähen. Für Fedora 23, 24 und 25 stehen Sicherheitsupdates für Libksba auf die Version 1.3.5 im Status 'testing' bereit, um diese Schwachstelle zu beheben. Patch: Fedora Security Update FEDORA-2016-46d09daeff (Fedora 25, libksba-1.3.5-1) https://bodhi.fedoraproject.org/updates/FEDORA-2016-46d09daeff

Patch:

Fedora Security Update FEDORA-2016-4751a94476 (Fedora 24, libksba-1.3.5-1)

https://bodhi.fedoraproject.org/updates/FEDORA-2016-4751a94476

Patch:

Fedora Security Update FEDORA-2016-db62a2d5a6 (Fedora 23, libksba-1.3.5-1)

https://bodhi.fedoraproject.org/updates/FEDORA-2016-db62a2d5a6

RED-HAT-BUG-ID-1369814: Schwachstelle in Libksba ermöglicht
Denial-of-Service-Angriff

Es existiert eine Schwachstelle in Libksba 1.3.4 aufgrund einer
unproportional großen Speicherreservierung beim Parsen speziell präparierter
Zertifikate, wodurch es zu einem Denial-of-Service (DoS)-Zustand kommen
kann. Außerdem wird der zugewiesene Speicher nicht initialisiert, wodurch
sensitive Daten, wie etwa geheime kryptographische Daten, Adressen von
Variablen und Bibliotheksfunktionen, in dem freigegebenen Speicherblock
verbleiben können, wodurch andere Schwachstellen ausnutzbar werden können.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2016-1398/

Fedora Security Update FEDORA-2016-46d09daeff (Fedora 25, libksba-1.3.5-1):
https://bodhi.fedoraproject.org/updates/FEDORA-2016-46d09daeff

Fedora Security Update FEDORA-2016-4751a94476 (Fedora 24, libksba-1.3.5-1):
https://bodhi.fedoraproject.org/updates/FEDORA-2016-4751a94476

Fedora Security Update FEDORA-2016-db62a2d5a6 (Fedora 23, libksba-1.3.5-1):
https://bodhi.fedoraproject.org/updates/FEDORA-2016-db62a2d5a6

Red Hat Bug 1369814:
https://bugzilla.redhat.com/show_bug.cgi?id=1369814

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben