Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 3 (27.10.2014):
Canonical veröffentlicht für Ubuntu 10.04 LTS, Ubuntu 12.04 LTS und Ubuntu
14.04 LTS Sicherheitsupdates.
Version 2 (27.10.2014):
Für die Distribution Debian Wheezy steht ein Sicherheitsupdate zur
Behebung der Schwachstelle bereit.
Version 1 (17.10.2014):
Neues Advisory

Betroffene Software:

libxml2

Betroffene Plattformen:

Canonical Ubuntu Linux 10.04 Lts
Canonical Ubuntu Linux 12.04 Lts
Canonical Ubuntu Linux 14.04 Lts
Debian Linux 7.7 (Wheezy)
Red Hat Enterprise Linux Desktop 6
Red Hat Enterprise Linux Desktop 7
Red Hat Enterprise Linux HPC Node 6
Red Hat Enterprise Linux HPC Node 7
Red Hat Enterprise Linux Server 6
Red Hat Enterprise Linux Server 6.6.z EUS
Red Hat Enterprise Linux Server 7
Red Hat Enterprise Linux Workstation 6
Red Hat Enterprise Linux Workstation 7
Red Hat Fedora 19
Red Hat Fedora 20
Red Hat Fedora 21

Eine Schwachstelle in der LibXML2 ermöglicht es einem entfernten, nicht
authentifizierten Angreifer, einen Denial-of-Service-Angriff durchzuführen.

Patch:

Fedora Security Update FEDORA-2014-12915

https://admin.fedoraproject.org/updates/FEDORA-2014-12915/libxml2-2.9.1-6.fc21

Patch:

Fedora Security Update FEDORA-2014-12995

https://admin.fedoraproject.org/updates/FEDORA-2014-12995/libxml2-2.9.1-3.fc20

Patch:

Fedora Security Update FEDORA-2014-13047

https://admin.fedoraproject.org/updates/FEDORA-2014-13047/libxml2-2.9.1-2.fc19

Patch:

Red Hat Security Advisory RHSA-2014:1655

http://rhn.redhat.com/errata/RHSA-2014-1655.html

Patch:

Debian Security Advisory DSA-3057-1

https://www.debian.org/security/2014/dsa-3057

Patch:

Ubuntu Security Notice USN-2389-1

http://www.ubuntu.com/usn/usn-2389-1/

CVE-2014-3660: Denial-of-Service-Schwachstelle in LibXML2

Eine Schwachstelle in der LibXML2 führt dazu, dass ein präpariertes
XML-Dokument in einer Anwendung, die LibXML eingebunden hat, eine extreme
CPU-Auslastung verursachen kann. Es kommt dabei zu einem extensiven Ersetzen
von Objekten, selbst wenn das Ersetzen von Objekten deaktiviert ist, was der
Standardeinstellung entspricht.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-1372/

Fedora Security Update FEDORA-2014-12915:
https://admin.fedoraproject.org/updates/FEDORA-2014-12915/libxml2-2.9.1-6.fc21

Fedora Security Update FEDORA-2014-12995:
https://admin.fedoraproject.org/updates/FEDORA-2014-12995/libxml2-2.9.1-3.fc20

Fedora Security Update FEDORA-2014-13047:
https://admin.fedoraproject.org/updates/FEDORA-2014-13047/libxml2-2.9.1-2.fc19

Red Hat Security Advisory RHSA-2014:1655:
http://rhn.redhat.com/errata/RHSA-2014-1655.html

Schwachstelle CVE-2014-3660 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3660

Debian Security Advisory DSA-3057-1:
https://www.debian.org/security/2014/dsa-3057

Ubuntu Security Notice USN-2389-1:
http://www.ubuntu.com/usn/usn-2389-1/

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 2 (27.10.2014):
Für die Distribution Debian Wheezy steht ein Sicherheitsupdate zur
Behebung der Schwachstelle bereit.
Version 1 (17.10.2014):
Neues Advisory

Betroffene Software:

libxml2

Betroffene Plattformen:

Debian Linux 7.7 (Wheezy)
Red Hat Enterprise Linux Desktop 6
Red Hat Enterprise Linux Desktop 7
Red Hat Enterprise Linux HPC Node 6
Red Hat Enterprise Linux HPC Node 7
Red Hat Enterprise Linux Server 6
Red Hat Enterprise Linux Server 6.6.z EUS
Red Hat Enterprise Linux Server 7
Red Hat Enterprise Linux Workstation 6
Red Hat Enterprise Linux Workstation 7
Red Hat Fedora 19
Red Hat Fedora 20
Red Hat Fedora 21

Eine Schwachstelle in der LibXML2 ermöglicht es einem entfernten, nicht
authentifizierten Angreifer, einen Denial-of-Service-Angriff durchzuführen.

Patch:

Fedora Security Update FEDORA-2014-12915

https://admin.fedoraproject.org/updates/FEDORA-2014-12915/libxml2-2.9.1-6.fc21

Patch:

Fedora Security Update FEDORA-2014-12995

https://admin.fedoraproject.org/updates/FEDORA-2014-12995/libxml2-2.9.1-3.fc20

Patch:

Fedora Security Update FEDORA-2014-13047

https://admin.fedoraproject.org/updates/FEDORA-2014-13047/libxml2-2.9.1-2.fc19

Patch:

Red Hat Security Advisory RHSA-2014:1655

http://rhn.redhat.com/errata/RHSA-2014-1655.html

Patch:

Debian Security Advisory DSA-3057-1

https://www.debian.org/security/2014/dsa-3057

CVE-2014-3660: Denial-of-Service-Schwachstelle in LibXML2

Eine Schwachstelle in der LibXML2 führt dazu, dass ein präpariertes
XML-Dokument in einer Anwendung, die LibXML eingebunden hat, eine extreme
CPU-Auslastung verursachen kann. Es kommt dabei zu einem extensiven Ersetzen
von Objekten, selbst wenn das Ersetzen von Objekten deaktiviert ist, was der
Standardeinstellung entspricht.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-1372/

Fedora Security Update FEDORA-2014-12915:
https://admin.fedoraproject.org/updates/FEDORA-2014-12915/libxml2-2.9.1-6.fc21

Fedora Security Update FEDORA-2014-12995:
https://admin.fedoraproject.org/updates/FEDORA-2014-12995/libxml2-2.9.1-3.fc20

Fedora Security Update FEDORA-2014-13047:
https://admin.fedoraproject.org/updates/FEDORA-2014-13047/libxml2-2.9.1-2.fc19

Red Hat Security Advisory RHSA-2014:1655:
http://rhn.redhat.com/errata/RHSA-2014-1655.html

Schwachstelle CVE-2014-3660 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3660

Debian Security Advisory DSA-3057-1:
https://www.debian.org/security/2014/dsa-3057

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.