Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Historie:
Version 5 (24.04.2015):
Für SUSE Linux Enterprise Server 11 SP3 für VMware, Server 11 SP3 und
Desktop 11 SP3 werden Sicherheitsupdates für mutt-1.5.17 zur Verfügung
gestellt.
Version 4 (07.01.2015):
Für SUSE Linux Enterprise Server 12 und SUSE Linux Enterprise Desktop 12
werden Sicherheitsupdates für mutt-1.5.21 zur Verfügung gestellt.
Version 3 (15.12.2014):
Für openSUSE 12.3, openSUSE 13.1 und openSUSE 13.2 werden
Sicherheitsupdates für mutt-1.5.21 zur Verfügung gestellt.
Version 2 (12.12.2014):
Für Ubuntu 14.10 werden aktualisierte Pakete von mutt 1.5.23, für Ubuntu
14.04 und 12.04 LTS von mutt 1.5.21 sowie für Ubuntu 10.04 LTS von mutt
1.5.20 bereitgestellt. Für Fedora 20, 21 werden aktualisierte Pakete von
mutt-1.5.23-4.fc20, bzw. mutt-1.5.23-7.fc21 (beide im Status “testing”)
zur Verfügung gestellt.
Version 1 (01.12.2014):
Neues Advisory
Betroffene Software:
Mutt
Betroffene Plattformen:
Canonical Ubuntu Linux 10.04 Lts
Canonical Ubuntu Linux 12.04 Lts
Canonical Ubuntu Linux 14.04 Lts
Canonical Ubuntu Linux 14.10
Debian Linux 7.7 Wheezy
openSUSE 12.3
openSUSE 13.1
openSUSE 13.2
SUSE Linux Enterprise Desktop 11 SP3
SUSE Linux Enterprise Desktop 12
SUSE Linux Enterprise Server 11 SP3
SUSE Linux Enterprise Server 11 SP3 VMware
SUSE Linux Enterprise Server 12
Red Hat Fedora 20
Red Hat Fedora 21
Eine Schwachstelle in Mutt ermöglicht einem entfernten, nicht
authentifizierten Angreifer die Durchführung eines
Denial-of-Service-Angriffs.
Patch:
Debian Security Advisory DSA-3083-1
https://www.debian.org/security/2014/dsa-3083
Patch:
Fedora Security Update FEDORA-2014-16494
https://admin.fedoraproject.org/updates/FEDORA-2014-16494/mutt-1.5.23-4.fc20
Patch:
Fedora Security Update FEDORA-2014-16782
https://admin.fedoraproject.org/updates/FEDORA-2014-16782/mutt-1.5.23-7.fc21
Patch:
Ubuntu Security Notice USN-2440-1
http://www.ubuntu.com/usn/usn-2440-1/
Patch:
openSUSE Security Update openSUSE-SU-2014:1635-1
http://lists.opensuse.org/opensuse-updates/2014-12/msg00053.html
Patch:
SUSE Security Update SUSE-SU-2015:0012-1
http://lists.opensuse.org/opensuse-security-announce/2015-01/msg00002.html
Patch:
SUSE Security Update SUSE-SU-2015:0758-1
https://www.suse.com/support/update/announcement/2015/suse-su-20150758-1.html
CVE-2014-9116: Schwachstelle in Mutt ermöglicht Denial-of-Service-Angriff
Eine Schwachstelle in Mutt führt beim Anzeigen einer manipulierten E-Mail zu
einem fehlerhaften Speicherzugriff (segfault). Ursache dafür ist eine nicht
korrekt durchgeführte Längenberechnung im Zusammenhang mit der
Mail-Kopfzeile, wenn die Option “set weed=off” gesetzt ist.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-1562/
Debian Security Advisory DSA-3083-1:
https://www.debian.org/security/2014/dsa-3083
Schwachstelle CVE-2014-9116 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-9116
Fedora Security Update FEDORA-2014-16494:
https://admin.fedoraproject.org/updates/FEDORA-2014-16494/mutt-1.5.23-4.fc20
Fedora Security Update FEDORA-2014-16782:
https://admin.fedoraproject.org/updates/FEDORA-2014-16782/mutt-1.5.23-7.fc21
Ubuntu Security Notice USN-2440-1:
http://www.ubuntu.com/usn/usn-2440-1/
openSUSE Security Update openSUSE-SU-2014:1635-1:
http://lists.opensuse.org/opensuse-updates/2014-12/msg00053.html
SUSE Security Update SUSE-SU-2015:0012-1:
http://lists.opensuse.org/opensuse-security-announce/2015-01/msg00002.html
SUSE Security Update SUSE-SU-2015:0758-1:
https://www.suse.com/support/update/announcement/2015/suse-su-20150758-1.html
(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.
