DFN-CERT-2017-1717 WeeChat: Eine Schwachstelle ermöglicht einen Denial-of-Service-Angriff [Linux][Fedora][SuSE]

DFN-CERT-2017-1717 WeeChat: Eine Schwachstelle ermöglicht einen Denial-of-Service-Angriff [Linux][Fedora][SuSE]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

WeeChat >= 0.3.2
WeeChat < 1.9.1 Betroffene Plattformen: openSUSE Leap 42.2 openSUSE Leap 42.3 Red Hat Fedora 25 Red Hat Fedora 26 Red Hat Fedora 27 Ein entfernter, nicht authentisierter Angreifer kann eine Schwachstelle im Logger-Plugin in WeeChat ausnutzen und die Anwendung in einen Denial-of-Service (DoS)-Zustand versetzen. Für Fedora 25, 26 und 27 stehen 'weechat-1.9.1-1' Pakete als Sicherheitsupdates im Status 'testing' bereit. Für openSUSE Leap 42.2 und openSUSE Leap 42.3 stehen Backport-Sicherheitsupdates für 'weechat' zur Verfügung. Patch: Fedora Security Update FEDORA-2017-5c2a294fba (Fedora 26, weechat-1.9.1-1) https://bodhi.fedoraproject.org/updates/FEDORA-2017-5c2a294fba

Patch:

Fedora Security Update FEDORA-2017-89efe409a2 (Fedora 25, weechat-1.9.1-1)

https://bodhi.fedoraproject.org/updates/FEDORA-2017-89efe409a2

Patch:

Fedora Security Update FEDORA-2017-ff17e19bae (Fedora 27, weechat-1.9.1-1)

https://bodhi.fedoraproject.org/updates/FEDORA-2017-ff17e19bae

Patch:

openSUSE Security Update openSUSE-SU-2017:2607-1

http://lists.opensuse.org/opensuse-updates/2017-09/msg00123.html

CVE-2017-14727: Schwachstelle in WeeChat ermöglicht
Denial-of-Service-Angriff

Im Logger-Plugin in ‘logger.c’ in WeeChat kann eine Schwachstelle auftreten,
weil ‘Date/Time’-Umwandlungsbezeichner nach der Ersetzung von lokalen
Variablen für den Dateinamen der Log-Datei im Pufferspeicher erweitert
werden und dies zu einem Fehler in der Funktion ‘strftime’ führen kann, in
dessen Folge nicht initialisierter Speicher verwendet wird und die Anwendung
abstürzt.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-1717/

WeeChat Security Vulnerabilities:
https://weechat.org/download/security/

Schwachstelle CVE-2017-14727 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-14727

Fedora Security Update FEDORA-2017-5c2a294fba (Fedora 26, weechat-1.9.1-1):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-5c2a294fba

Fedora Security Update FEDORA-2017-89efe409a2 (Fedora 25, weechat-1.9.1-1):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-89efe409a2

Fedora Security Update FEDORA-2017-ff17e19bae (Fedora 27, weechat-1.9.1-1):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-ff17e19bae

openSUSE Security Update openSUSE-SU-2017:2607-1:
http://lists.opensuse.org/opensuse-updates/2017-09/msg00123.html

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben