DFN-CERT-2017-0647 XStream, IBM Notes: Eine Schwachstelle ermöglicht einen Denial-of-Service-Angriff

DFN-CERT-2017-0647 XStream, IBM Notes: Eine Schwachstelle ermöglicht einen Denial-of-Service-Angriff

Von

Liebes Linux-Magazin-Team,

bitte beachten Sie die Informationen zu den verfügbaren Sicherheitsupdates
in der folgenden Sicherheitsmeldung.

Historie:

Version 6 (24.04.19):
SUSE stellt für SUSE Manager Server 3.2 und Proxy 3.2 Sicherheitsupdates
zur Behebung der Schwachstelle zur Verfügung.
Version 5 (21.12.17):
SUSE stellt für SUSE Manager Server 3.0 und 3.1 Sicherheitsupdates zur
Behebung der Schwachstelle zur Verfügung.
Version 4 (13.10.17):
IBM veröffentlicht weitere Informationen zur Betroffenheit von IBM Notes
durch Schwachstellen in der Open Source Bibliothek XStream, referenziert
dabei aber explizit weiterhin nur CVE-2017-7957. Für IBM Notes MAC 64 wird
nun zusätzlich die Version 901 MAC 64 IF12 als Sicherheitsupdate benannt.
Version 3 (04.10.17):
Die Schwachstelle in XStream betrifft auch IBM Notes in den Versionen 9.0,
9.0.1 bis Version 9.0.1 Feature Pack 8, 8.5, 8.5.1, 8.5.2 und 8.5.3 bis
Version 8.5.3 Fix Pack 6 Interim Fix 14. Ein Patch zur Behebung der
XStream-Schwachstelle ist ab der Version 9.0.1 Feature Pack 9 und 8.5.3
Fix Pack 6 Interim Fix 15 in IBM Notes implementiert.
Version 2 (03.05.17):
Die Schwachstelle hat mittlerweile den Bezeichner CVE-2017-7957 erhalten.
Debian stellt für die stabile Distribution Debian Jessie ein Backport-
Sicherheitsupdate bereit und kündigt an, dass die Schwachstelle in der
nächsten stabilen Distribution Debian Stretch bald behoben wird.
Version 1 (13.04.17):
Neues Advisory

Ein entfernter, nicht authentisierter Angreifer kann die Schwachstelle
ausnutzen, um einen Denial-of-Service-Angriff gegen XStream durchzuführen.

Für Fedora 24, 25 und 26 stehen Sicherheitsupdates in Form von
‘xstream-1.4.9-5’- und ‘jenkins-xstream-1.4.7-11.jenkins1’-Paketen im Status
‘testing’ bereit.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Schwachstellenarchiv unter:
[https://adv-archiv.dfn-cert.de/adv/2017-0647]

Mit freundlichen Grüßen,
Ihr DFN-CERT Incident Response Team


(c) DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen ist auf den Ursprung in
angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für die DFN-CERT
Webseite. https://www.dfn-cert.de/impressum.html

© COMPUTEC MEDIA GmbH
Nach oben