UPDATE: DFN-CERT-2014-1415 Quassel IRC, Konversation: Eine Schwachstelle ermöglicht Denial-of-Service-Angriff und das Ausspähen von Informationen [Linux][Debian][Fedora][SuSE]

UPDATE: DFN-CERT-2014-1415 Quassel IRC, Konversation: Eine Schwachstelle ermöglicht Denial-of-Service-Angriff und das Ausspähen von Informationen [Linux][Debian][Fedora][SuSE]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 5 (12.11.2014):
Für openSUSE 13.2 steht ein Sicherheitsupdate von Konversation zur
Verfügung.
Version 4 (11.11.2014):
Canonical stellt für die Distribution Ubuntu 12.04 LTS ein
Sicherheitsupdate bereit und openSUSE updatet die Versionen 12.3, 13.1 und
13.2.
Version 3 (10.11.2014):
Für Debian Wheezy steht ein Sicherheitsupdate von Konversation zur
Verfügung.
Version 2 (03.11.2014):
Für Debian Wheezy steht ein Sicherheitsupdate zur Verfügung.
Version 1 (28.10.2014):
Neues Advisory

Betroffene Software:

Quassel IRC

Betroffene Plattformen:

Canonical Ubuntu Linux 12.04 Lts
Debian Linux 7.7 Wheezy
openSUSE 12.3
openSUSE 13.1
openSUSE 13.2
Red Hat Fedora 19
Red Hat Fedora 20
Red Hat Fedora 21
Extra Packages for Red Hat Enterprise Linux 6
Extra Packages for Red Hat Enterprise Linux 7

Ein Schwachstelle in den Internet Relay Chat (IRC)-Clients Quassel und
Konversation ermöglicht einem entfernten, nicht authentifizierten Angreifer
das Herbeiführen eines Denial-of-Service-Zustands und das Ausspähen von
Informationen.

Patch:

Fedora Security Update FEDORA-2014-13702

https://admin.fedoraproject.org/updates/FEDORA-2014-13702/konversation-1.5-6.fc19

Patch:

Fedora Security Update FEDORA-2014-13791

https://admin.fedoraproject.org/updates/FEDORA-2014-13791/konversation-1.5-6.fc20

Patch:

Fedora Security Update FEDORA-2014-13837

https://admin.fedoraproject.org/updates/FEDORA-2014-13837/konversation-1.5-6.fc21

Patch:

Fedora Security Update FEDORA-EPEL-2014-3647

https://admin.fedoraproject.org/updates/FEDORA-EPEL-2014-3647/konversation-1.3.1-2.el6

Patch:

Fedora Security Update FEDORA-EPEL-2014-3664

https://admin.fedoraproject.org/updates/FEDORA-EPEL-2014-3664/konversation-1.5-6.el7

Patch:

Debian Security Advisory DSA-3063-1

https://www.debian.org/security/2014/dsa-3063

Patch:

KDE Project Security Advisory KDE-advisory-20141104-1

http://kde.org/info/security/advisory-20141104-1.txt

Patch:

Debian Security Advisory DSA-3068-1

https://www.debian.org/security/2014/dsa-3068

Patch:

Ubuntu Security Notice USN-2401-1

http://www.ubuntu.com/usn/usn-2401-1/

Patch:

openSUSE Security Update: openSUSE-SU-2014:1382-1

http://lists.opensuse.org/opensuse-updates/2014-11/msg00028.html

Patch:

openSUSE Security Update openSUSE-SU-2014:1406-1

http://lists.opensuse.org/opensuse-updates/2014-11/msg00046.html

CVE-2014-8483: Schwachstelle in Quassel und Konversation ermöglicht
Denial-of-Service-Angriff und das Ausspähen von Informationen

Eine Schwachstelle in der blowfishECB-Function in core/cipher.cpp von
Quassel führt dazu, dass über die Grenzen eines zugewiesenen Heap-Bereichs
hinaus gelesen wird. Ein entfernter, nicht authentifizierter Angreifer kann
mit einer speziell präparierten Zeichenkette einen Denial-of-Service-Zustand
herbeiführen oder Informationen ausspähen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-1415/

Fedora Security Update FEDORA-2014-13702:
https://admin.fedoraproject.org/updates/FEDORA-2014-13702/konversation-1.5-6.fc19

Fedora Security Update FEDORA-2014-13791:
https://admin.fedoraproject.org/updates/FEDORA-2014-13791/konversation-1.5-6.fc20

Fedora Security Update FEDORA-2014-13837:
https://admin.fedoraproject.org/updates/FEDORA-2014-13837/konversation-1.5-6.fc21

Fedora Security Update FEDORA-EPEL-2014-3647:
https://admin.fedoraproject.org/updates/FEDORA-EPEL-2014-3647/konversation-1.3.1-2.el6

Fedora Security Update FEDORA-EPEL-2014-3664:
https://admin.fedoraproject.org/updates/FEDORA-EPEL-2014-3664/konversation-1.5-6.el7

Schwachstelle CVE-2014-8483 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-8483

Debian Security Advisory DSA-3063-1:
https://www.debian.org/security/2014/dsa-3063

KDE Project Security Advisory KDE-advisory-20141104-1:
http://kde.org/info/security/advisory-20141104-1.txt

Debian Security Advisory DSA-3068-1:
https://www.debian.org/security/2014/dsa-3068

Ubuntu Security Notice USN-2401-1:
http://www.ubuntu.com/usn/usn-2401-1/

openSUSE Security Update: openSUSE-SU-2014:1382-1:
http://lists.opensuse.org/opensuse-updates/2014-11/msg00028.html

openSUSE Security Update openSUSE-SU-2014:1406-1:
http://lists.opensuse.org/opensuse-updates/2014-11/msg00046.html

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

UPDATE: DFN-CERT-2014-1415 Quassel IRC, Konversation: Eine Schwachstelle ermöglicht Denial-of-Service-Angriff und das Ausspähen von Informationen [Linux][Debian][Fedora][SuSE]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 4 (11.11.2014):
Canonical stellt für die Distribution Ubuntu 12.04 LTS ein
Sicherheitsupdate bereit und openSUSE updatet die Versionen 12.3, 13.1 und
13.2.
Version 3 (10.11.2014):
Für Debian Wheezy steht ein Sicherheitsupdate von Konversation zur
Verfügung.
Version 2 (03.11.2014):
Für Debian Wheezy steht ein Sicherheitsupdate zur Verfügung.
Version 1 (28.10.2014):
Neues Advisory

Betroffene Software:

Quassel IRC

Betroffene Plattformen:

Canonical Ubuntu Linux 12.04 Lts
Debian Linux 7.7 (Wheezy)
openSUSE 12.3
openSUSE 13.1
openSUSE 13.2
Red Hat Fedora 19
Red Hat Fedora 20
Red Hat Fedora 21
Extra Packages for Red Hat Enterprise Linux 6
Extra Packages for Red Hat Enterprise Linux 7

Ein Schwachstelle in den Internet Relay Chat (IRC)-Clients Quassel und
Konversation ermöglicht einem entfernten, nicht authentifizierten Angreifer
das Herbeiführen eines Denial-of-Service-Zustands und das Ausspähen von
Informationen.

Patch:

Fedora Security Update FEDORA-2014-13702

https://admin.fedoraproject.org/updates/FEDORA-2014-13702/konversation-1.5-6.fc19

Patch:

Fedora Security Update FEDORA-2014-13791

https://admin.fedoraproject.org/updates/FEDORA-2014-13791/konversation-1.5-6.fc20

Patch:

Fedora Security Update FEDORA-2014-13837

https://admin.fedoraproject.org/updates/FEDORA-2014-13837/konversation-1.5-6.fc21

Patch:

Fedora Security Update FEDORA-EPEL-2014-3647

https://admin.fedoraproject.org/updates/FEDORA-EPEL-2014-3647/konversation-1.3.1-2.el6

Patch:

Fedora Security Update FEDORA-EPEL-2014-3664

https://admin.fedoraproject.org/updates/FEDORA-EPEL-2014-3664/konversation-1.5-6.el7

Patch:

Debian Security Advisory DSA-3063-1

https://www.debian.org/security/2014/dsa-3063

Patch:

KDE Project Security Advisory KDE-advisory-20141104-1

http://kde.org/info/security/advisory-20141104-1.txt

Patch:

Debian Security Advisory DSA-3068-1

https://www.debian.org/security/2014/dsa-3068

Patch:

Ubuntu Security Notice USN-2401-1

http://www.ubuntu.com/usn/usn-2401-1/

Patch:

openSUSE Security Update: openSUSE-SU-2014:1382-1

http://lists.opensuse.org/opensuse-updates/2014-11/msg00028.html

CVE-2014-8483: Schwachstelle in Quassel und Konversation ermöglicht
Denial-of-Service-Angriff und das Ausspähen von Informationen

Eine Schwachstelle in der blowfishECB-Function in core/cipher.cpp von
Quassel führt dazu, dass über die Grenzen eines zugewiesenen Heap-Bereichs
hinaus gelesen wird. Ein entfernter, nicht authentifizierter Angreifer kann
mit einer speziell präparierten Zeichenkette einen Denial-of-Service-Zustand
herbeiführen oder Informationen ausspähen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-1415/

Fedora Security Update FEDORA-2014-13702:
https://admin.fedoraproject.org/updates/FEDORA-2014-13702/konversation-1.5-6.fc19

Fedora Security Update FEDORA-2014-13791:
https://admin.fedoraproject.org/updates/FEDORA-2014-13791/konversation-1.5-6.fc20

Fedora Security Update FEDORA-2014-13837:
https://admin.fedoraproject.org/updates/FEDORA-2014-13837/konversation-1.5-6.fc21

Fedora Security Update FEDORA-EPEL-2014-3647:
https://admin.fedoraproject.org/updates/FEDORA-EPEL-2014-3647/konversation-1.3.1-2.el6

Fedora Security Update FEDORA-EPEL-2014-3664:
https://admin.fedoraproject.org/updates/FEDORA-EPEL-2014-3664/konversation-1.5-6.el7

Schwachstelle CVE-2014-8483 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-8483

Debian Security Advisory DSA-3063-1:
https://www.debian.org/security/2014/dsa-3063

KDE Project Security Advisory KDE-advisory-20141104-1:
http://kde.org/info/security/advisory-20141104-1.txt

Debian Security Advisory DSA-3068-1:
https://www.debian.org/security/2014/dsa-3068

Ubuntu Security Notice USN-2401-1:
http://www.ubuntu.com/usn/usn-2401-1/

openSUSE Security Update: openSUSE-SU-2014:1382-1:
http://lists.opensuse.org/opensuse-updates/2014-11/msg00028.html

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben