DFN-CERT-2017-0786 libtirpc, rpcbind: Eine Schwachstelle ermöglicht einen Denial-of-Service-Angriff

DFN-CERT-2017-0786 libtirpc, rpcbind: Eine Schwachstelle ermöglicht einen Denial-of-Service-Angriff

Von

Liebes Linux-Magazin-Team,

bitte beachten Sie die Informationen zu den verfügbaren Sicherheitsupdates
in der folgenden Sicherheitsmeldung.

Historie:

Version 17 (02.03.18):
Oracle veröffentlicht für Oracle VM 3.4 das Bug Fix Update OVMBA-2018-0019
mit dem rpcbind auf die Version 0.2.0-13_9.1aktualisiert wird. Bereits mit
der Version 0.2.0-13_9 (OVMSA-2017-0107) wurde die referenzierte
Schwachstelle adressiert, die in dem jetzt veröffentlichten Bug Fix Update
allerdings erneut in der Sektion ‘Beschreibung der Änderungen’ aufgeführt
wird.
Version 16 (05.07.17):
Red Hat Ceph Storage steht nun in der Version 2.3 zur Verfügung. In dieser
Version wird auch die Schwachstelle CVE-2017-8779 behoben.
Version 15 (06.06.17):
Red Hat stellt ein Sicherheitsupdate für ‘libntirpc’ für Red Hat Gluster
Storage 3.2 für RHEL 6 und Red Hat Gluster Storage 3.2 für RHEL 7 bereit,
um diese Schwachstelle zu beheben. Dieses Paket beinhaltet eine neue
Implementierung der originalen ‘libtirpc’ (transport-independent RPC (TI-
RPC) library for NFS-Ganesha).
Version 14 (01.06.17):
Für die SUSE Linux Enterprise Produkte Server 11 SP3 LTSS und 11 SP4 sowie
Debuginfo 11 SP3 und 11 SP4 stehen Sicherheitsupdates für ‘rpcbind’ und
‘libtirpc’ zur Verfügung. Für SUSE Linux Enterprise Software Development
Kit 11 SP4 wird ein Sicherheitsupdate für ‘libtirpc’ bereitgestellt.
Version 13 (26.05.17):
Für openSUSE Leap 42.2 steht jetzt auch ein Sicherheitsupdate für
‘rpcbind’ zur Verfügung.
Version 12 (26.05.17):
Für Oracle VM 3.3 und 3.4 stehen Sicherheitsupdates für ‘ rpcbind’ und
‘libtirpc’ zur Behebung der Schwachstelle zur Verfügung.
Version 11 (24.05.17):
Für Oracle Linux 6 (i386, x86_64) stehen Sicherheitsupdates für ‘ rpcbind’
und ‘libtirpc’ zur Behebung der Schwachstelle zur Verfügung.
Version 10 (24.05.17):
Für die Distribution openSUSE Leap 42.2 steht ein Sicherheitsupdate für
‘libtirpc’ zur Behebung der Schwachstelle zur Verfügung.
Version 9 (23.05.17):
Für Oracle Linux 7 (x86_64) stehen Sicherheitsupdates für ‘rpcbind’ und
‘libtirpc’ zur Verfügung.
Version 8 (23.05.17):
Für die Red Hat Enterprise Linux 6 Produktvarianten Desktop, HPC Node,
Server und Workstation stehen Sicherheitsupdates für ‘libtirpc’ und
‘rpcbind’ zur Behebung der Schwachstelle zur Verfügung.
Version 7 (22.05.17):
Für die Red Hat Enterprise Linux 7 Produktvarianten Desktop, HPC Node,
Server und Workstation sowie Server TUS (v. 7.3) stehen Sicherheitsupdates
für libtirpc und rpcbind zur Behebung der Schwachstelle zur Verfügung.
Version 6 (19.05.17):
SUSE veröffentlicht für die SUSE Linux Enterprise Produkte Server und
Desktop in den Versionen 12 SP1 und 12 SP2 sowie für SUSE Linux Enterprise
Server for Raspberry Pi 12 SP2 Sicherheitsupdates für rpcbind, um die
Schwachstelle zu beheben.
Version 5 (19.05.17):
Für Fedora 25 und 26 stehen die Pakete ‘libtirpc-1.0.1-4.rc3.fc25’ und
‘libtirpc-1.0.1-4.rc3.fc26’ als Sicherheitsupdates im Status ‘testing’
bereit.
Version 4 (17.05.17):
Für die SUSE Linux Enterprise Produkte Software Development Kit, Server
und Desktop in den Varianten 12 SP1 und 12 SP2 sowie für Server for
Raspberry Pi 12 SP2 stehen aktualisierte ‘libtirpc’-Pakete als
Sicherheitsupdates bereit.
Version 3 (16.05.17):
Für Fedora 25 und 26 stehen neue Sicherheitsupdates für ‘rpcbind’ bereit.
Die in den bisherigen Sicherheitsupdates veröffentlichte Version von
‘rpcbind’ stürzt bei der gleichzeitigen Verwendung von ‘ypbind’ ab. Das
neue Sicherheitsupdate für Fedora 26 befindet sich im Status ‘testing’,
während dasjenige für Fedora 25 noch im Status ‘pending’ ist.
Version 2 (12.05.17):
Für Fedora 25 und 26 stehen Sicherheitsupdates für ‘rpcbind’ bereit. Das
Sicherheitsupdate für Fedora 25 befindet sich im Status ‘testing’, während
dasjenige für Fedora 26 noch im Status ‘pending’ ist.
Version 1 (09.05.17):
Neues Advisory

Ein entfernter, nicht authentisierter Angreifer kann eine Schwachstelle in
rpcbind und weiteren Bibliotheken wie libtirpc und dessen Abspaltung
libntirpc ausnutzen, um ein Speicherleck von bis zu 4 GB pro Angriff zu
erzeugen und in der Folge den gesamten Speicher des Systems zu erschöpfen
(Denial-of-Service). Die Schwachstelle kann möglicherweise für weitere
Angriffe im Kontext anderer Anwendungen ausgenutzt werden und ist unter dem
Namen ‘rpcbomb’ bekannt.

Der Hersteller der Software hat bisher nicht auf die Veröffentlichung eines
Exploits reagiert, es stehen aber bereits durch den Entdecker der
Schwachstelle erstellte Patches für rpcbind und libtirpc zur Verfügung.

Debian stellt für die stabile Distribution Debian Jessie und die folgende
stabile Distribution Debian Stretch Sicherheitsupdates für libtirpc und
rpcbind bereit.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Schwachstellenarchiv unter:
[https://adv-archiv.dfn-cert.de/adv/2017-0786]

Mit freundlichen Grüßen,
Ihr DFN-CERT Incident Response Team


(c) DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen ist auf den Ursprung in
angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für die DFN-CERT
Webseite. https://www.dfn-cert.de/impressum.html

© COMPUTEC MEDIA GmbH
Nach oben