UPDATE: DFN-CERT-2014-1015 GPGME: Eine Schwachstelle ermöglicht Denial-of-Service-Angriffe und das Ausführen beliebigen Programmcodes [Linux][Debian][Fedora][SuSE]

UPDATE: DFN-CERT-2014-1015 GPGME: Eine Schwachstelle ermöglicht Denial-of-Service-Angriffe und das Ausführen beliebigen Programmcodes [Linux][Debian][Fedora][SuSE]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 5 (08.12.2014):
Für Fedora 20 und Fedora 21 werden Sicherheitsupdates in Form
aktualisierter Pakete gpgme-1.3.2-5.fc20, bzw. gpgme-1.4.3-5.fc21 (beide
im Status “testing”) zur Verfügung gestellt.
Version 4 (09.09.2014):
Für SUSE Linux Enterprise 11 SP3 stehen für Server, Server für VMware,
Desktop und Software Development Kit Sicherheitsupdates bereit.
Version 3 (20.08.2014):
Für die Distributionen openSUSE 12.3 und 13.1 stehen Sicherheitsupdates
bereit.
Version 2 (15.08.2014):
Für die Distributionen Debian Wheezy und Debian Jessie stehen
Sicherheitsupdates bereit.
Version 1 (07.08.2014):
Neues Advisory

Betroffene Software:

GNU GPGME <= 1.0 GNU GPGME <= 1.3.2 GNU GPGME <= 1.4.3 Betroffene Plattformen: SUSE Software Development Kit 11 SP3 Enterprise Canonical Ubuntu Linux 10.04 Lts Canonical Ubuntu Linux 12.04 Lts Canonical Ubuntu Linux 14.04 Lts Debian Linux 7.6 Wheezy Debian Linux 8.0 Jessie openSUSE 12.3 openSUSE 13.1 SUSE Linux Enterprise Desktop 11 SP3 SUSE Linux Enterprise Server 11 SP3 SUSE Linux Enterprise Server 11 SP3 VMware Red Hat Fedora 20 Red Hat Fedora 21 Ein entfernter, nicht authentifizierter Angreifer kann Anwendungen, die GPGME nutzen, zum Absturz bringen und somit Denial-of-Service-Angriff durchführen oder beliebigen Programmcode zur Ausführung bringen. Patch: Ubuntu Security Notice USN-2307-1 http://www.ubuntu.com/usn/usn-2307-1/

Patch:

Debian Security Advisory DSA-3005-1

https://www.debian.org/security/2014/dsa-3005

Patch:

openSUSE Security Update: openSUSE-SU-2014:1039-1

http://lists.opensuse.org/opensuse-updates/2014-08/msg00026.html

Patch:

SUSE Security Update: SUSE-SU-2014:1073-1

https://www.suse.com/support/update/announcement/2014/suse-su-20141073-1.html

Patch:

Fedora Security Update FEDORA-2014-16451

https://admin.fedoraproject.org/updates/FEDORA-2014-16451/gpgme-1.4.3-5.fc21

Patch:

Fedora Security Update FEDORA-2014-16459

https://admin.fedoraproject.org/updates/FEDORA-2014-16459/gpgme-1.3.2-5.fc20

CVE-2014-3564: Schwachstelle in GPGME ermöglicht das Ausführen beliebigen
Programmcodes

Durch eine Schwachstelle in GPGME werden bestimmte Zeilenlängen von
Zertifikaten nicht richtig behandelt.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-1015/

Ubuntu Security Notice USN-2307-1:
http://www.ubuntu.com/usn/usn-2307-1/

Schwachstelle CVE-2014-3564 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3564

Debian Security Advisory DSA-3005-1:
https://www.debian.org/security/2014/dsa-3005

openSUSE Security Update: openSUSE-SU-2014:1039-1:
http://lists.opensuse.org/opensuse-updates/2014-08/msg00026.html

SUSE Security Update: SUSE-SU-2014:1073-1:
https://www.suse.com/support/update/announcement/2014/suse-su-20141073-1.html

Fedora Security Update FEDORA-2014-16451:
https://admin.fedoraproject.org/updates/FEDORA-2014-16451/gpgme-1.4.3-5.fc21

Fedora Security Update FEDORA-2014-16459:
https://admin.fedoraproject.org/updates/FEDORA-2014-16459/gpgme-1.3.2-5.fc20

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben