Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Libtasn1

Betroffene Plattformen:

Debian Linux 8.8 Jessie

Ein entfernter, nicht authentisierter Angreifer kann eine Schwachstelle in
Libtasn1 ausnutzen, indem er einen Benutzer der Anwendung zur Verarbeitung
speziell präparierter Zuweisungsdateien (Assignment Files) verleitet.
Dadurch kann ein Denial-of-Service-Zustand ausgelöst und möglicherweise
beliebiger Programmcode ausgeführt werden.

Der Hersteller stellt einen Patch für die Schwachstelle bereit und kündigt
an, das Problem mit Version 4.11 der Software zu beheben. Eine abschließende
Liste verwundbarer Versionen existiert noch nicht, die Schwachstelle wurde
bisher nur für Libtasn1 4.10 bestätigt.

Debian stellt für die stabile Distribution Debian Jessie ein
Backport-Sicherheitsupdate für ‘libtasn1-6’ bereit.

Patch:

Debian Security Advisory DSA-3861-1

https://www.debian.org/security/2017/dsa-3861

CVE-2017-6891: Schwachstelle in Libtasn1 ermöglicht
Denial-of-Service-Angriff und Ausführung beliebigen Programmcodes

Zwei Programmfehler in der Funktion ‘asn1_find_node’ in Libtasn1 4.10 können
ausgenutzt werden, um stackbasierte Pufferüberläufe zu erzeugen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-0910/

Schwachstelle CVE-2017-6891 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-6891

Debian Security Advisory DSA-3861-1:
https://www.debian.org/security/2017/dsa-3861

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.