Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 5 (21.07.2014):
Für die Distribution openSUSE 13.1 steht ein Sicherheitsupdate zur
Verfügung, welches allerdings nur die Schwachstellen CVE-2014-3532 und
CVE-2014-3533 behebt.
Version 4 (21.07.2014):
Für die Distribution openSUSE 12.3 steht ein Sicherheitsupdate zur
Verfügung, welches allerdings nur die Schwachstellen CVE-2014-3532 und
CVE-2014-3533 behebt.
Version 3 (09.07.2014):
Canonical stellt für die Distributionen Ubuntu 12.04 LTS, 13.10 und 14.04
LTS Sicherheitsupdates bereit.
Version 2 (04.07.2014):
Für Fedora 20 steht ein Sicherheitsupdate zur Verfügung, welches die
Schwachstellen über eine ‘Backport’-Version vom dbus-1.6 behebt.
Version 1 (04.07.2014):
Neues Advisory

Betroffene Software:

D-Bus 1.6.8

Betroffene Plattformen:

Canonical Ubuntu Linux 12.04 Lts
Canonical Ubuntu Linux 13.10
Canonical Ubuntu Linux 14.04 Lts
Debian Linux 7.5 Wheezy
openSUSE 12.3
openSUSE 13.1
Red Hat Fedora 20

Ein nicht authentisierter Angreifer, lokal oder aus dem benachbarten
Netzwerk, kann diese Schwachstellen ausnutzen, um Denial-of-Service-Angriffe
durchzuführen.

Patch:

Debian Security Advisory DSA-2971-1

https://www.debian.org/security/2014/dsa-2971

Patch:

Fedora Security Update FEDORA-2014-8059

https://admin.fedoraproject.org/updates/FEDORA-2014-8059/dbus-1.6.12-9.fc20

Patch:

Ubuntu Security Notice USN-2275-1

http://www.ubuntu.com/usn/usn-2275-1/

Patch:

openSUSE Security Update: openSUSE-SU-2014:0921-1

http://lists.opensuse.org/opensuse-updates/2014-07/msg00022.html

Patch:

openSUSE Security Update: openSUSE-SU-2014:0926-1

http://lists.opensuse.org/opensuse-updates/2014-07/msg00027.html

CVE-2014-3533: Schwachstelle im dbus-daemon erlaubt Denial-of-Service

Ein schädlicher Prozess kann, indem er den dbus-daemon versuchen lässt,
ungültige Dateibezeichner an einen Opferprozess zu senden, das Trennen von
Diensten vom D-Bus System verursachen. Ein nicht authentisierter Angreifer
kann diese Schwachstelle ausnutzen, indem er einen schädlichen Prozess
startet, um einen Denial-of-Service-Angriff durchzuführen.

CVE-2014-3532: Schwachstelle im dbus-daemon erlaubt Denial-of-Service

Eine Schwachstelle besteht im dbus-daemon beim Weitergeben von
Dateibezeichnern. Ein nicht authentisierter Angreifer kann diese
Schwachstelle ausnutzen, indem er schädliche Nachrichten sendet, die einen
Dateibezeichner beinhalten, um Systemdienste oder Applikationen von
Benutzern von dem D-Bus System abzukoppeln, d.h. einen
Denial-of-Service-Zustand herbeizuführen.

CVE-2014-3477: DoS-Schwachstelle im dbus-daemon

In der Kommunikation zwischen Client und Service, die vom dbus-daemon
vermittelt wird, kann es aufgrund der implementierten Datenflussrichtung zu
einem Denial-of-Service-Zustand kommen. In “untrusted” Umgebungen, in denen
Client und Service nicht kommunizieren sollen, kann der Informationsfluss
vom Service genutzt werden, um Informationen über den Client zu erhalten.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-0860/

Schwachstelle CVE-2014-3477 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3477

Debian Security Advisory DSA-2971-1:
https://www.debian.org/security/2014/dsa-2971

Schwachstelle CVE-2014-3532 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3532

Schwachstelle CVE-2014-3533 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3533

Fedora Security Update FEDORA-2014-8059:
https://admin.fedoraproject.org/updates/FEDORA-2014-8059/dbus-1.6.12-9.fc20

Ubuntu Security Notice USN-2275-1:
http://www.ubuntu.com/usn/usn-2275-1/

openSUSE Security Update: openSUSE-SU-2014:0921-1:
http://lists.opensuse.org/opensuse-updates/2014-07/msg00022.html

openSUSE Security Update: openSUSE-SU-2014:0926-1:
http://lists.opensuse.org/opensuse-updates/2014-07/msg00027.html

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 4 (21.07.2014):
Für die Distribution openSUSE 12.3 steht ein Sicherheitsupdate zur
Verfügung, welches allerdings nur die Schwachstellen CVE-2014-3532 und
CVE-2014-3533 behebt.
Version 3 (09.07.2014):
Canonical stellt für die Distributionen Ubuntu 12.04 LTS, 13.10 und 14.04
LTS Sicherheitsupdates bereit.
Version 2 (04.07.2014):
Für Fedora 20 steht ein Sicherheitsupdate zur Verfügung, welches die
Schwachstellen über eine ‘Backport’-Version vom dbus-1.6 behebt.
Version 1 (04.07.2014):
Neues Advisory

Betroffene Software:

D-Bus 1.6.8

Betroffene Plattformen:

Canonical Ubuntu Linux 12.04 Lts
Canonical Ubuntu Linux 13.10
Canonical Ubuntu Linux 14.04 Lts
Debian Linux 7.5 Wheezy
openSUSE 12.3
Red Hat Fedora 20

Ein nicht authentisierter Angreifer, lokal oder aus dem benachbarten
Netzwerk, kann diese Schwachstellen ausnutzen, um Denial-of-Service-Angriffe
durchzuführen.

Patch:

Debian Security Advisory DSA-2971-1

https://www.debian.org/security/2014/dsa-2971

Patch:

Fedora Security Update FEDORA-2014-8059

https://admin.fedoraproject.org/updates/FEDORA-2014-8059/dbus-1.6.12-9.fc20

Patch:

Ubuntu Security Notice USN-2275-1

http://www.ubuntu.com/usn/usn-2275-1/

Patch:

openSUSE Security Update: openSUSE-SU-2014:0921-1

http://lists.opensuse.org/opensuse-updates/2014-07/msg00022.html

CVE-2014-3533: Schwachstelle im dbus-daemon erlaubt Denial-of-Service

Ein schädlicher Prozess kann, indem er den dbus-daemon versuchen lässt,
ungültige Dateibezeichner an einen Opferprozess zu senden, das Trennen von
Diensten vom D-Bus System verursachen. Ein nicht authentisierter Angreifer
kann diese Schwachstelle ausnutzen, indem er einen schädlichen Prozess
startet, um einen Denial-of-Service-Angriff durchzuführen.

CVE-2014-3532: Schwachstelle im dbus-daemon erlaubt Denial-of-Service

Eine Schwachstelle besteht im dbus-daemon beim Weitergeben von
Dateibezeichnern. Ein nicht authentisierter Angreifer kann diese
Schwachstelle ausnutzen, indem er schädliche Nachrichten sendet, die einen
Dateibezeichner beinhalten, um Systemdienste oder Applikationen von
Benutzern von dem D-Bus System abzukoppeln, d.h. einen
Denial-of-Service-Zustand herbeizuführen.

CVE-2014-3477: DoS-Schwachstelle im dbus-daemon

In der Kommunikation zwischen Client und Service, die vom dbus-daemon
vermittelt wird, kann es aufgrund der implementierten Datenflussrichtung zu
einem Denial-of-Service-Zustand kommen. In “untrusted” Umgebungen, in denen
Client und Service nicht kommunizieren sollen, kann der Informationsfluss
vom Service genutzt werden, um Informationen über den Client zu erhalten.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-0860/

Schwachstelle CVE-2014-3477 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3477

Debian Security Advisory DSA-2971-1:
https://www.debian.org/security/2014/dsa-2971

Schwachstelle CVE-2014-3532 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3532

Schwachstelle CVE-2014-3533 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3533

Fedora Security Update FEDORA-2014-8059:
https://admin.fedoraproject.org/updates/FEDORA-2014-8059/dbus-1.6.12-9.fc20

Ubuntu Security Notice USN-2275-1:
http://www.ubuntu.com/usn/usn-2275-1/

openSUSE Security Update: openSUSE-SU-2014:0921-1:
http://lists.opensuse.org/opensuse-updates/2014-07/msg00022.html

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.