UPDATE: DFN-CERT-2014-0370 libyaml: Eine Schwachstelle ermöglicht Ausführung beliebiger Befehle [Linux][Debian][Fedora]

- 31. März 2014

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 3 (31.03.2014):
Für die Linux-Distributionen Fedora 19 und Fedora 20 sowie EPEL wurden
weitere Sicherheitsupdates bereitgestellt.
Version 2 (28.03.2014):
Für die Linux-Distributionen Fedora 19 und Fedora 20 werden
Sicherheitsupdates bereitgestellt.
Version 1 (27.03.2014):
Neues Advisory

Betroffene Software:

libyaml <= 0.1.5 Betroffene Plattformen: Debian Linux 6.0.9 Squeeze Debian Linux 7.4 Wheezy Red Hat Fedora 19 Red Hat Fedora 20 Extra Packages for Red Hat Enterprise Linux 5 Extra Packages for Red Hat Enterprise Linux 6 Eine Schwachstelle in der Bibliothek 'libyaml' und in "libyaml-libyaml-perl" ermöglicht einem entfernten Angreifer die Anwendung, welche die Bibliothek verwendet, zum Absturz zu bringen oder beliebige Befehle mit den Rechten der Anwendung zur Ausführung zu bringen. Patch: Debian Security Advisory DSA-2850-1 http://www.debian.org/security/2014/dsa-2850

Patch:

Fedora Update FEDORA-2014-1851

https://admin.fedoraproject.org/updates/FEDORA-2014-1851/libyaml-0.1.4-6.fc20

Patch:

Fedora Update FEDORA-2014-1817

https://admin.fedoraproject.org/updates/FEDORA-2014-1817/libyaml-0.1.4-6.fc19

Patch:

Ubuntu Security Advisory USN-2098-1

http://www.ubuntu.com/usn/usn-2098-1/

Patch:

Fedora EPEL Update FEDORA-EPEL-2014-0525

https://admin.fedoraproject.org/updates/FEDORA-EPEL-2014-0525/libyaml-0.1.5-1.el6

Patch:

Fedora EPEL Update FEDORA-EPEL-2014-0531

https://admin.fedoraproject.org/updates/FEDORA-EPEL-2014-0531/libyaml-0.1.2-6.el5

Patch:

Debian Security Advisory DSA-2870-1

http://www.debian.org/security/2014/dsa-2870

Patch:

Debian Security Advisory DSA-2885

http://www.debian.org/security/2014/dsa-2885

Patch:

Debian Security Advisory DSA-2884

http://www.debian.org/security/2014/dsa-2884

Patch:

Fedora Security Advisory FEDORA-2014-4438

https://admin.fedoraproject.org/updates/FEDORA-2014-4438/libyaml-0.1.6-1.fc19

Patch:

Fedora Security Advisory FEDORA-2014-4440

https://admin.fedoraproject.org/updates/FEDORA-2014-4440/libyaml-0.1.6-1.fc20

Patch:

SUSE Security Update SUSE-SU-2014:0403-1

https://www.suse.com/support/update/announcement/2014/suse-su-20140403-1.html

Patch:

SUSE Security Update SUSE-SU-2014:0456-1

https://www.suse.com/support/update/announcement/2014/suse-su-20140456-1.html

Patch:

Fedora Security Advisory FEDORA-EPEL-2014-0980

https://admin.fedoraproject.org/updates/FEDORA-EPEL-2014-0980/perl-YAML-LibYAML-0.38-4.el6

Patch:

Fedora Security Advisory FEDORA-EPEL-2014-0418

https://admin.fedoraproject.org/updates/FEDORA-EPEL-2014-0418/libyaml-0.1.2-5.el5

Patch:

Fedora Security Advisory FEDORA-EPEL-2014-0401

https://admin.fedoraproject.org/updates/FEDORA-EPEL-2014-0401/libyaml-0.1.3-4.el6

Patch:

Fedora Update FEDORA-2014-4548

https://admin.fedoraproject.org/updates/FEDORA-2014-4548/perl-YAML-LibYAML-0.41-4.fc20

Patch:

Fedora Update FEDORA-2014-4517

https://admin.fedoraproject.org/updates/FEDORA-2014-4517/perl-YAML-LibYAML-0.41-4.fc19

CVE-2014-2525: Pufferüberlauf Schwachstelle in der Bibliothek libyaml

In der Bibliothek libyaml kann es beim Parsen von YAML-Tags zu einem
Pufferüberlauf auf dem Heap kommen. Dies ermöglicht einem entfernten, nicht
authentifizierten Angreifer durch das Bereitstellen eines präparierten
YAML-Dokumentes Anwendungen, welche die Bibliothek verwenden, zum Absturz zu
bringen oder beliebige Befehle mit den Rechten der Anwendung zur Ausführung
zu bringen. Voraussetzung dafür ist, dass das YAML-Dokument von einer
betroffenen libyaml-Bibliothek verarbeitet wird.

CVE-2013-6393: Pufferüberlauf Schwachstelle in der Bibliothek libyaml

In der Bibliothek libyaml kann es beim Parsen von YAML-Tags zu einem
Pufferüberlauf auf dem Heap kommen. Dies ermöglicht einem entfernten, nicht
authentifizierten Angreifer durch das Bereitstellen eines präparierten
YAML-Dokumentes die Anwendung, welche die Bibliothek verwendet, zum Absturz
zu bringen oder beliebige Befehle mit den Rechten der Anwendung zur
Ausführung zu bringen. Voraussetzung dafür ist, dass das YAML-Dokument von
einer betroffenen libyaml Bibliothek verarbeitet wird.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-0370/

Schwachstelle CVE-2013-6393 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-6393

Debian Security Advisory DSA-2850-1:
http://www.debian.org/security/2014/dsa-2850

Fedora Update FEDORA-2014-1851:
https://admin.fedoraproject.org/updates/FEDORA-2014-1851/libyaml-0.1.4-6.fc20

Fedora Update FEDORA-2014-1817:
https://admin.fedoraproject.org/updates/FEDORA-2014-1817/libyaml-0.1.4-6.fc19

Ubuntu Security Advisory USN-2098-1:
http://www.ubuntu.com/usn/usn-2098-1/

Fedora EPEL Update FEDORA-EPEL-2014-0525:
https://admin.fedoraproject.org/updates/FEDORA-EPEL-2014-0525/libyaml-0.1.5-1.el6

Fedora EPEL Update FEDORA-EPEL-2014-0531:
https://admin.fedoraproject.org/updates/FEDORA-EPEL-2014-0531/libyaml-0.1.2-6.el5

Debian Security Advisory DSA-2870-1:
http://www.debian.org/security/2014/dsa-2870

Debian Security Advisory DSA-2885:
http://www.debian.org/security/2014/dsa-2885

Debian Security Advisory DSA-2884:
http://www.debian.org/security/2014/dsa-2884

Schwachstelle CVE-2014-2525 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-2525

Fedora Security Advisory FEDORA-2014-4438:
https://admin.fedoraproject.org/updates/FEDORA-2014-4438/libyaml-0.1.6-1.fc19

Fedora Security Advisory FEDORA-2014-4440:
https://admin.fedoraproject.org/updates/FEDORA-2014-4440/libyaml-0.1.6-1.fc20

SUSE Security Update SUSE-SU-2014:0403-1:
https://www.suse.com/support/update/announcement/2014/suse-su-20140403-1.html

SUSE Security Update SUSE-SU-2014:0456-1:
https://www.suse.com/support/update/announcement/2014/suse-su-20140456-1.html

Fedora Security Advisory FEDORA-EPEL-2014-0980:
https://admin.fedoraproject.org/updates/FEDORA-EPEL-2014-0980/perl-YAML-LibYAML-0.38-4.el6

Fedora Security Advisory FEDORA-EPEL-2014-0418:
https://admin.fedoraproject.org/updates/FEDORA-EPEL-2014-0418/libyaml-0.1.2-5.el5

Fedora Security Advisory FEDORA-EPEL-2014-0401:
https://admin.fedoraproject.org/updates/FEDORA-EPEL-2014-0401/libyaml-0.1.3-4.el6

Fedora Update FEDORA-2014-4548:
https://admin.fedoraproject.org/updates/FEDORA-2014-4548/perl-YAML-LibYAML-0.41-4.fc20

Fedora Update FEDORA-2014-4517:
https://admin.fedoraproject.org/updates/FEDORA-2014-4517/perl-YAML-LibYAML-0.41-4.fc19

UPDATE: DFN-CERT-2014-0370 libyaml: Eine Schwachstelle ermöglicht Ausführung beliebiger Befehle [Linux][Debian][Fedora]

Von DFN CERT

- 28. März 2014

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 2 (28.03.2014):
Für die Linux-Distributionen Fedora 19 und Fedora 20 werden
Sicherheitsupdates bereitgestellt.
Version 1 (27.03.2014):
Neues Advisory

Betroffene Software:

libyaml <= 0.1.5 Betroffene Plattformen: Debian Linux 6.0.9 Squeeze Debian Linux 7.4 Wheezy Red Hat Fedora 19 Red Hat Fedora 20 Eine Schwachstelle in der Bibliothek 'libyaml' und in "libyaml-libyaml-perl" ermöglicht einem entfernten Angreifer die Anwendung, welche die Bibliothek verwendet, zum Absturz zu bringen oder beliebige Befehle mit den Rechten der Anwendung zur Ausführung zu bringen. Patch: Debian Security Advisory DSA-2884 http://www.debian.org/security/2014/dsa-2884

Patch:

Debian Security Advisory DSA-2885

http://www.debian.org/security/2014/dsa-2885

Patch:

Fedora Security Advisory FEDORA-2014-4438

https://admin.fedoraproject.org/updates/FEDORA-2014-4438/libyaml-0.1.6-1.fc19

Patch:

Fedora Security Advisory FEDORA-2014-4440

https://admin.fedoraproject.org/updates/FEDORA-2014-4440/libyaml-0.1.6-1.fc20

CVE-2014-2525: Pufferüberlauf Schwachstelle in der Bibliothek libyaml

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-0370/