Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Historie:
Version 5 (05.08.2014):
Für SUSE Linux Enterprise 11 SP3 stehen für Server, Server für VMware und
Desktop Sicherheitsupdates bereit.
Version 4 (04.07.2014):
Für openSUSE 13.1 und openSUSE 12.3 wurden Sicherheitsupdates von GnuPG
2.0.22 bzw. 2.0.19 bereitgestellt.
Version 3 (27.06.2014):
Debian stellt, nach Sicherheitsupdates von GnuPG 1.4.12 für Debian Wheezy,
jetzt auch Sicherheitsupdates von GnuPG 2.0.19 bzw. 2.0.24 für Debian
Wheezy und Debian Jessie zur Verfügung.
Version 2 (27.06.2014):
Canonical stellt für die Distributionen Ubuntu 10.04 LTS, 12.04 LTS, 13.10
und 14.04 LTS Sicherheitsupdates zur Verfügung. Für die Distributionen
Fedora 19 und 20 wurden ebenfalls Sicherheitspatches veröffentlicht.
Version 1 (26.06.2014):
Neues Advisory
Betroffene Software:
GnuPG <= 1.4.16 GnuPG <= 2.0.23 Betroffene Plattformen: Canonical Ubuntu Linux 10.04 Lts Canonical Ubuntu Linux 12.04 Lts Canonical Ubuntu Linux 13.10 Canonical Ubuntu Linux 14.04 Lts Debian Linux 7.5 Wheezy Debian Linux 8.0 Jessie openSUSE 12.3 openSUSE 13.1 SUSE Linux Enterprise Desktop 11 SP3 SUSE Linux Enterprise Server 11 SP3 SUSE Linux Enterprise Server 11 SP3 VMware Red Hat Fedora 19 Red Hat Fedora 20 Ein entfernter, nicht authentifizierter Angreifer kann die Schwachstelle beim Parsen von komprimierten Datenpaketen nutzen, um eine Endlosschleife und damit einen Denial-of-Service-Zustand zu bewirken. Patch: Debian Security Advisory DSA-2967-1 https://www.debian.org/security/2014/dsa-2967
Patch:
Debian Security Advisory DSA-2968-1
https://www.debian.org/security/2014/dsa-2968
Patch:
Fedora Security Update FEDORA-2014-7796
https://admin.fedoraproject.org/updates/FEDORA-2014-7796/gnupg2-2.0.24-1.fc20
Patch:
Fedora Security Update FEDORA-2014-7797
https://admin.fedoraproject.org/updates/FEDORA-2014-7797/gnupg2-2.0.24-1.fc19
Patch:
Ubuntu Security Notice USN-2258-1
http://www.ubuntu.com/usn/usn-2258-1/
Patch:
openSUSE Security Advisory openSUSE-SU-2014:0866-1
http://lists.opensuse.org/opensuse-updates/2014-07/msg00010.html
Patch:
SUSE Security Update: SUSE-SU-2014:0896-1
https://www.suse.com/support/update/announcement/2014/suse-su-20140896-1.html
CVE-2014-4617: Denial-of-Service-Schwachstelle in GnuPG
Die “do_uncompress” Funktion in “g10/compress.c” in GnuPG 1.x vor Version
1.4.17 und 2.x vor Version 2.0.24 ermöglicht einem Kontext-abhängigen
Angreifer, über manipulierte, komprimierte Pakte (wie demonstriert über eine
“a3 01 5b ff” Byte Sequenz) das System in einen Denial-of-Service-Zustand zu
versetzen.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-0830/
Schwachstelle CVE-2014-4617 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-4617
Debian Security Advisory DSA-2967-1:
https://www.debian.org/security/2014/dsa-2967
Debian Security Advisory DSA-2968-1:
https://www.debian.org/security/2014/dsa-2968
Fedora Security Update FEDORA-2014-7796:
https://admin.fedoraproject.org/updates/FEDORA-2014-7796/gnupg2-2.0.24-1.fc20
Fedora Security Update FEDORA-2014-7797:
https://admin.fedoraproject.org/updates/FEDORA-2014-7797/gnupg2-2.0.24-1.fc19
Ubuntu Security Notice USN-2258-1:
http://www.ubuntu.com/usn/usn-2258-1/
openSUSE Security Advisory openSUSE-SU-2014:0866-1:
http://lists.opensuse.org/opensuse-updates/2014-07/msg00010.html
SUSE Security Update: SUSE-SU-2014:0896-1:
https://www.suse.com/support/update/announcement/2014/suse-su-20140896-1.html
(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.
