Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 2 (02.06.2014):
Canonical stellt für die Distributionen Ubuntu 14.04 LTS, 12.04 LTS, 10.04
LTS und 13.10 Sicherheitsupdates bereit.
Version 1 (02.06.2014):
Neues Advisory

Betroffene Software:

GNU GnuTLS

Betroffene Plattformen:

Canonical Ubuntu Linux 10.04 Lts
Canonical Ubuntu Linux 12.04 Lts
Canonical Ubuntu Linux 13.10
Canonical Ubuntu Linux 14.04 Lts
Debian Linux 7.5 Wheezy
Red Hat Fedora 19
Red Hat Fedora 20

Ein entfernter, nicht authentifizierter Angreifer kann, durch das Senden
einer extra langen Session-ID, einen Pufferüberlauf auslösen und damit einen
Denial-of-Service-Zustand verursachen oder aber die Ausführung beliebigen
Programmcodes bewirken.

Patch:

Fedora Security Update FEDORA-2014-6881

https://admin.fedoraproject.org/updates/FEDORA-2014-6881/gnutls-3.1.20-5.fc19

Patch:

Fedora Security Update FEDORA-2014-6891

https://admin.fedoraproject.org/updates/FEDORA-2014-6891/gnutls-3.1.25-1.fc20

Patch:

Debian Security Advisory DSA-2944-1

https://www.debian.org/security/2014/dsa-2944

Patch:

Fedora Security Update FEDORA-2014-6953

https://admin.fedoraproject.org/updates/FEDORA-2014-6953/mingw-gnutls-3.1.25-1.fc20

Patch:

Fedora Security Update FEDORA-2014-6963

https://admin.fedoraproject.org/updates/FEDORA-2014-6963/mingw-gnutls-3.1.25-1.fc19

Patch:

Ubuntu Security Notice USN-2229-1

http://www.ubuntu.com/usn/usn-2229-1/

CVE-2014-3466: Schwachstelle in GnuTLS

Es existiert eine Schwachstelle in der “read_server_hello()” und in der
“_gnutls_read_server_hello()” Funktion beim TLS/SSL Handshake. Die
“session_id_len” wird nicht auf die maximale Session-ID-Länge geprüft.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-0686/

Fedora Security Update FEDORA-2014-6881:
https://admin.fedoraproject.org/updates/FEDORA-2014-6881/gnutls-3.1.20-5.fc19

Fedora Security Update FEDORA-2014-6891:
https://admin.fedoraproject.org/updates/FEDORA-2014-6891/gnutls-3.1.25-1.fc20

Schwachstelle CVE-2014-3466 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3466

Debian Security Advisory DSA-2944-1:
https://www.debian.org/security/2014/dsa-2944

Fedora Security Update FEDORA-2014-6953:
https://admin.fedoraproject.org/updates/FEDORA-2014-6953/mingw-gnutls-3.1.25-1.fc20

Fedora Security Update FEDORA-2014-6963:
https://admin.fedoraproject.org/updates/FEDORA-2014-6963/mingw-gnutls-3.1.25-1.fc19

Ubuntu Security Notice USN-2229-1:
http://www.ubuntu.com/usn/usn-2229-1/

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.