UPDATE: DFN-CERT-2014-0001 Bibliothek libsrtp: Eine Schwachstelle ermöglicht einen Denial-of-Service-Angriff [Linux][Debian][Fedora][SuSE]

UPDATE: DFN-CERT-2014-0001 Bibliothek libsrtp: Eine Schwachstelle ermöglicht einen Denial-of-Service-Angriff [Linux][Debian][Fedora][SuSE]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 4 (29.09.2014):
Für openSUSE 13.1 wurde ein Sicherheitsupdate bereitgestellt.
Version 3 (24.09.2014):
Für Fedora EPEL 6 wurde ein Sicherheitsupdate erstellt.
Version 2 (13.01.2014):
Es ist ein Patch für die Distributionen Debian Squeeze, Wheezy, Jessie
herausgegeben worden.
Version 1 (02.01.2014):
Neues Advisory

Betroffene Software:

Debian Linux 6.0.8 Squeeze
Debian Linux 7.3 Wheezy
Debian Linux 8.0 Jessie
openSUSE 13.1
Red Hat Fedora 18
Red Hat Fedora 19
Red Hat Fedora 20
Extra Packages for Red Hat Enterprise Linux 6

Betroffene Plattformen:

Debian Linux
openSUSE
Red Hat Fedora
Extra Packages for Red Hat Enterprise Linux

Eine Schwachstelle in der Bibliothek libsrtp ermöglicht es einem entfernten,
nicht authentifizierten Angreifer einen Denial-of-Service-Angriff
durchzuführen.

Patch:

Fedora Update FEDORA-2013-24114

https://admin.fedoraproject.org/updates/FEDORA-2013-24114/libsrtp-1.4.4-9.20101004cvs.fc19

Patch:

Fedora Update FEDORA-2013-24153

https://admin.fedoraproject.org/updates/FEDORA-2013-24153/libsrtp-1.4.4-9.20101004cvs.fc20

Patch:

Fedora Update FEDORA-2013-24155

https://admin.fedoraproject.org/updates/FEDORA-2013-24155/libsrtp-1.4.4-9.20101004cvs.fc18

Patch:

Debian Security Advisory DSA-2840

http://www.debian.org/security/2014/dsa-2840

Patch:

Fedora Security Update FEDORA-EPEL-2014-2750

https://admin.fedoraproject.org/updates/FEDORA-EPEL-2014-2750/libsrtp-1.4.4-10.20101004cvs.el6

Patch:

openSUSE Security Update openSUSE-SU-2014:1250-1

http://lists.opensuse.org/opensuse-updates/2014-09/msg00059.html

CVE-2013-2139: Pufferüberlauf in libsrtp

In der Implementierung des Secure Real-Time Transport Protokolls (SRTP) kann
es beim Anwenden der kryptografischen Profile auf die SRTP-Policy in der
Funktion crypto_policy_set_from_profile_for_rtp() zu einem Pufferüberlauf
kommen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-0001/

Schwachstelle CVE-2013-2139 (Red Hat):
https://access.redhat.com/security/cve/CVE-2013-2139

Fedora Update FEDORA-2013-24114:
https://admin.fedoraproject.org/updates/FEDORA-2013-24114/libsrtp-1.4.4-9.20101004cvs.fc19

Fedora Update FEDORA-2013-24153:
https://admin.fedoraproject.org/updates/FEDORA-2013-24153/libsrtp-1.4.4-9.20101004cvs.fc20

Fedora Update FEDORA-2013-24155:
https://admin.fedoraproject.org/updates/FEDORA-2013-24155/libsrtp-1.4.4-9.20101004cvs.fc18

Schwachstelle CVE-2013-2139 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-2139

Debian Security Advisory DSA-2840:
http://www.debian.org/security/2014/dsa-2840

Fedora Security Update FEDORA-EPEL-2014-2750:
https://admin.fedoraproject.org/updates/FEDORA-EPEL-2014-2750/libsrtp-1.4.4-10.20101004cvs.el6

openSUSE Security Update openSUSE-SU-2014:1250-1:
http://lists.opensuse.org/opensuse-updates/2014-09/msg00059.html

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben