DFN-CERT-2018-0187 Libtasn1: Zwei Schwachstellen ermöglichen Denial-of-Service-Angriffe [Linux]

DFN-CERT-2018-0187 Libtasn1: Zwei Schwachstellen ermöglichen Denial-of-Service-Angriffe [Linux]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Libtasn1 <= 4.12 Betroffene Plattformen: Canonical Ubuntu Linux 14.04 LTS Canonical Ubuntu Linux 16.04 LTS Canonical Ubuntu Linux 17.10 Zwei Schwachstellen in Libtasn1 ermöglichen einem entfernten, nicht authentisierten Angreifer die Durchführung verschiedener Denial-of-Service (DoS)-Angriffe. Canonical stellt für die Distributionen Ubuntu 14.04 LTS, Ubuntu 16.04 LTS und Ubuntu 17.10 bereit, um die Schwachstellen zu beheben. Patch: Ubuntu Security Notice USN-3547-1 http://www.ubuntu.com/usn/usn-3547-1/

CVE-2018-6003: Schwachstelle in Libtasn1 ermöglicht
Denial-of-Service-Angriff

In der Funktion ‘_asn1_decode_simple_ber’ von Libtasn1 bis Version 4.12 kann
die Verarbeitung einer speziell präparierten Zeichenkette das Erschöpfen des
Stacks im BER-Dekodierer aufgrund einer unendlichen Rekursion zur Folge
haben und die Anwendung zum Absturz bringen (Denial-of-Service). Ein
entfernter, nicht authentisierter Angreifer kann einen Denial-of-Service
(DoS)-Angriff durchführen.

CVE-2017-10790: Schwachstelle in Libtasn1 ermöglicht
Denial-of-Service-Angriff

Die Funktion ‘_asn1_check_identifier’ in GNU Libtasn1 bis einschließlich
Version 4.12 bewirkt eine NULL-Zeiger-Dereferenzierung und dadurch einen
Programmabsturz beim Lesen manipulierten Inputs, der die Zuweisung eines
NULL-Wertes innerhalb einer ‘asn1_node’-Struktur auslöst. Ein entfernter,
nicht authentisierter Angreifer kann die Schwachstelle ausnutzen, um einen
Denial-of-Service-Zustand zu bewirken.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2018-0187/

Schwachstelle CVE-2017-10790 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-10790

Schwachstelle CVE-2018-6003 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2018-6003

Ubuntu Security Notice USN-3547-1:
http://www.ubuntu.com/usn/usn-3547-1/

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben