UPDATE: DFN-CERT-2014-1462 GNU GnuTLS: Eine Schwachstelle ermöglicht Denial-of-Service-Angriff [Linux][Fedora][RedHat]

UPDATE: DFN-CERT-2014-1462 GNU GnuTLS: Eine Schwachstelle ermöglicht Denial-of-Service-Angriff [Linux][Fedora][RedHat]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 4 (17.11.2014):
Für die Distributionen Red Hat Enterprise Linux Desktop v.7, Red Hat
Enterprise Linux HPC Node v.7, Red Hat Enterprise Linux Server v.7 und Red
Hat Enterprise Linux Workstation v.7 wurden Sicherheitsupdates erstellt.
Version 3 (12.11.2014):
Für die Distributionen Fedora 19, Fedora 20 und Fedora 21 wurden
Sicherheitsupdates erstellt.
Version 2 (11.11.2014):
Für Ubuntu 14.10 steht ein Sicherheitsupdate zur Verfügung.
Version 1 (10.11.2014):
Neues Advisory

Betroffene Software:

GNU GnuTLS

Betroffene Plattformen:

Canonical Ubuntu Linux 14.10
GNU/Linux
Red Hat Enterprise Linux Desktop 7
Red Hat Enterprise Linux HPC Node 7
Red Hat Enterprise Linux Server 7
Red Hat Enterprise Linux Workstation 7
Red Hat Fedora 19
Red Hat Fedora 20
Red Hat Fedora 21

Eine Schwachstelle in GnuTLS ermöglicht einem entfernten, nicht
authentifizierten Angreifer, einen Denial-of-Service-Zustand herbeizuführen.

Patch:

GnuTLS Team Hersteller Advisory GNUTLS-SA-2014-3

http://www.gnutls.org/security.html

Patch:

Ubuntu Security Notice USN-2403-1

http://www.ubuntu.com/usn/usn-2403-1/

Patch:

Fedora Security Update FEDORA-2014-14734

https://admin.fedoraproject.org/updates/FEDORA-2014-14734/gnutls-3.3.10-1.fc21

Patch:

Fedora Security Update FEDORA-2014-14738

https://admin.fedoraproject.org/updates/FEDORA-2014-14738/gnutls-3.1.20-6.fc19

Patch:

Fedora Security Update FEDORA-2014-14760

https://admin.fedoraproject.org/updates/FEDORA-2014-14760/gnutls-3.1.28-1.fc20

Patch:

Red Hat Security Advisory RHSA-2014:1846

http://rhn.redhat.com/errata/RHSA-2014-1846.html

CVE-2014-8564: Schwachstelle in GnuTLS ermöglicht Denial-of-Service-Angriff

Eine Schwachstelle in der Kodierung von Parametern von Elliptischen Kurven
kann zu einer Korruption des Heap-Speichers bei Clients und Servern führen,
wenn Informationen über das Zertifikat der Gegenstelle ausgegeben werden.
Ein entfernter, nicht authentifizierter Angreifer kann diese Schwachstelle
ausnutzen, um über speziell präparierte X.509-Zertifikate einen
Denial-of-Service-Zustand herbeizuführen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-1462/

GnuTLS Team Hersteller Advisory GNUTLS-SA-2014-3:
http://www.gnutls.org/security.html

Schwachstelle CVE-2014-8564 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-8564

Ubuntu Security Notice USN-2403-1:
http://www.ubuntu.com/usn/usn-2403-1/

Fedora Security Update FEDORA-2014-14734:
https://admin.fedoraproject.org/updates/FEDORA-2014-14734/gnutls-3.3.10-1.fc21

Fedora Security Update FEDORA-2014-14738:
https://admin.fedoraproject.org/updates/FEDORA-2014-14738/gnutls-3.1.20-6.fc19

Fedora Security Update FEDORA-2014-14760:
https://admin.fedoraproject.org/updates/FEDORA-2014-14760/gnutls-3.1.28-1.fc20

Red Hat Security Advisory RHSA-2014:1846:
http://rhn.redhat.com/errata/RHSA-2014-1846.html

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben