DFN-CERT-2017-1085 Valgrind: Mehrere Schwachstellen ermöglichen u.a. die Ausführung beliebigen Programmcodes [Linux]

DFN-CERT-2017-1085 Valgrind: Mehrere Schwachstellen ermöglichen u.a. die Ausführung beliebigen Programmcodes [Linux]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Valgrind

Betroffene Plattformen:

Canonical Ubuntu Linux 14.04 LTS
Canonical Ubuntu Linux 16.04 LTS
Canonical Ubuntu Linux 16.10
Canonical Ubuntu Linux 17.04

Mehrere Schwachstellen in der in Valgrind verwendeten Bibliothek GNU
libiberty ermöglichen einem entfernten, nicht authentisierten Angreifer die
Ausführung beliebigen Programmcodes sowie verschiedene Denial-of-Service
(DoS)-Angriffe.

Canonical stellt für Ubuntu 17.04, Ubuntu 16.10, Ubuntu 16.04 LTS und Ubuntu
14.04 LTS Sicherheitsupdates für ‘valgrind’ bereit. Ubuntu 17.04 ist von der
Schwachstelle CVE-2016-2226 nicht betroffen.

Patch:

Ubuntu Security Notice USN-3337-1

http://www.ubuntu.com/usn/usn-3337-1/

CVE-2016-6131: Schwachstelle in GNU libiberty ermöglicht
Denial-of-Service-Angriff

Im ‘Demangler’ in GNU libiberty existiert eine Schwachstelle, die es
ermöglicht einen Zyklus von Referenzen abgespeicherter ‘Mangling’-Typen zu
erzeugen, wodurch eine Endlosschleife (Infinite Loop) ausgelöst wird,
infolgedessen ein Stack-basierter Pufferspeicherüberlauf (Stack Overflow)
eintritt, welcher die Anwendung zum Absturz bringt (Denial-of-Service). Ein
entfernter, nicht authentisierter Angreifer kann einen
Denial-of-Service-Angriff durchführen.

CVE-2016-4487 CVE-2016-4488 CVE-2016-4489 CVE-2016-4490 CVE-2016-4491
CVE-2016-4492 CVE-2016-4493: Schwachstellen in GNU libiberty ermöglichen
Denial-of-Service-Angriffe

Mehrere Schwachstellen in GNU libiberty ermöglichen es einem entfernten,
nicht authentisierten Angreifer über die Verwendung freigegebenen Speichers
(Use-after-Free), verschiedene Pufferspeicher (Buffer Overflow)- und
Ganzzahlen (Integer)-Überläufe sowie einen ungültigen Lesezugriff
(Out-of-Bounds Read) Speicherschutzverletzungen zu provozieren infolgedessen
die Anwendung abstürzt (Denial-of-Service).

CVE-2016-2226: Schwachstelle in GNU libiberty ermöglicht Ausführung
beliebigen Programmcodes

In der Funktion ‘string_appends’ in ‘cplus-dem.c’ in libiberty existiert
eine Schwachstelle, die ein entfernter, nicht authentisierter Angreifer
ausnutzen kann, um mit einer speziell präparierten ausführbaren Datei
(Executable) einen Pufferspeicherüberlauf (Buffer Overflow) zu verursachen,
wodurch dieser beliebigen Programmcode zur Ausführung bringen kann.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-1085/

Schwachstelle CVE-2016-2226 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-2226

Schwachstelle CVE-2016-4487 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-4487

Schwachstelle CVE-2016-4488 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-4488

Schwachstelle CVE-2016-4489 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-4489

Schwachstelle CVE-2016-4490 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-4490

Schwachstelle CVE-2016-4491 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-4491

Schwachstelle CVE-2016-4492 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-4492

Schwachstelle CVE-2016-4493 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-4493

Schwachstelle CVE-2016-6131 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-6131

Ubuntu Security Notice USN-3337-1:
http://www.ubuntu.com/usn/usn-3337-1/

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben