UPDATE: DFN-CERT-2014-0605 libxml2: Eine Schwachstelle ermöglicht XXE-Angriffe [Linux][Debian][Fedora][SuSE]

UPDATE: DFN-CERT-2014-0605 libxml2: Eine Schwachstelle ermöglicht XXE-Angriffe [Linux][Debian][Fedora][SuSE]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 5 (28.12.2014):
Für die Distributionen Fedora 20, Fedora 21 und für Fedora EPEL 7 stehen
Sicherheitsupdates bereit.
Version 4 (14.07.2014):
Für die Distribution Debian Wheezy steht ein Sicherheitspatch zur
Verfügung.
Version 3 (04.06.2014):
Für openSUSE 12.3 und 13.1 wird dieses Update zur Verfügung gestellt,
welches den Sicherheitspatch für die Schwachstelle *zurückzieht*, da die
Beseitigung der Schwachstelle dazu geführt hat, dass existierende
Anwendung nicht mehr funktionieren und es dafür kein Workaround gibt.
Ein Einspielen dieses Updates bedingt also eine erneute Verwundbarkeit
gegenüber der Schwachstelle und sollte nur dann erfolgen, wenn tatsächlich
Anwendungen eingesetzt werden, die mit dem verfügbaren Sicherheitspatch
nicht mehr funktionieren.
Version 2 (27.05.2014):
Für openSUSE 12.3 und 13.1 sind weitere Sicherheitsupdates veröffentlicht
worden.
Version 1 (16.05.2014):
Neues Advisory

Betroffene Software:

libxml2 <= 2.9.1 Betroffene Plattformen: Canonical Ubuntu Linux 10.04 Lts Canonical Ubuntu Linux 12.04 Lts Canonical Ubuntu Linux 12.10 Canonical Ubuntu Linux 13.10 Canonical Ubuntu Linux 14.04 Lts Debian Linux 7.5 Wheezy openSUSE 12.3 openSUSE 13.1 Red Hat Fedora 20 Red Hat Fedora 21 Extra Packages for Red Hat Enterprise Linux 7 Eine Schwachstelle in libxml2 ermöglicht einem entfernten, nicht authentifizierten Angreifer "XML eXternal Entities (XXE)"-Angriffe durchzuführen. Patch: openSUSE Security Update openSUSE-SU-2014:0645-1 http://lists.opensuse.org/opensuse-updates/2014-05/msg00043.html

Patch:

Ubuntu Security Notice USN-2214-1 USN-2214-1

http://www.ubuntu.com/usn/usn-2214-1/

Patch:

openSUSE Security Update: openSUSE-SU-2014:0716-1

http://lists.opensuse.org/opensuse-updates/2014-05/msg00076.html

Patch:

openSUSE REVERTED Patch: openSUSE-SU-2014:0753-1

http://lists.opensuse.org/opensuse-updates/2014-06/msg00009.html

Patch:

Debian Security Advisory DSA-2978-1

https://www.debian.org/security/2014/dsa-2978

Patch:

Fedora Security Update FEDORA-2014-17573

https://admin.fedoraproject.org/updates/FEDORA-2014-17573/mingw-libxml2-2.9.2-1.fc20

Patch:

Fedora Security Update FEDORA-2014-17609

https://admin.fedoraproject.org/updates/FEDORA-2014-17609/mingw-libxml2-2.9.2-1.fc21

Patch:

Fedora Security Update FEDORA-EPEL-2014-4892

https://admin.fedoraproject.org/updates/FEDORA-EPEL-2014-4892/mingw-libxml2-2.9.2-1.el7

CVE-2014-0191: XXE-Schwachstelle in libxml2

Auch wenn die Substitution von externen Entitäten nicht erlaubt ist, werden
in XML-Dateien referenzierte externe Entitäten von libxml2 nachgeladen. Ein
entfernter, nicht authentifizierter Angreifer kann diese Schwachstelle für
“XML eXternal Entities (XXE)”-Angriffe ausnutzen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-0605/

openSUSE Security Update openSUSE-SU-2014:0645-1:
http://lists.opensuse.org/opensuse-updates/2014-05/msg00043.html

Schwachstelle CVE-2014-0191 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0191

Ubuntu Security Notice USN-2214-1 USN-2214-1:
http://www.ubuntu.com/usn/usn-2214-1/

openSUSE Security Update: openSUSE-SU-2014:0716-1:
http://lists.opensuse.org/opensuse-updates/2014-05/msg00076.html

openSUSE REVERTED Patch: openSUSE-SU-2014:0753-1:
http://lists.opensuse.org/opensuse-updates/2014-06/msg00009.html

Debian Security Advisory DSA-2978-1:
https://www.debian.org/security/2014/dsa-2978

Fedora Security Update FEDORA-2014-17573:
https://admin.fedoraproject.org/updates/FEDORA-2014-17573/mingw-libxml2-2.9.2-1.fc20

Fedora Security Update FEDORA-2014-17609:
https://admin.fedoraproject.org/updates/FEDORA-2014-17609/mingw-libxml2-2.9.2-1.fc21

Fedora Security Update FEDORA-EPEL-2014-4892:
https://admin.fedoraproject.org/updates/FEDORA-EPEL-2014-4892/mingw-libxml2-2.9.2-1.el7

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben