UPDATE: DFN-CERT-2014-1642 Unbound: Eine Schwachstelle ermöglicht einen Denial-of-Service-Angriff [Linux][Debian][Fedora][Unix][OpenBSD]

UPDATE: DFN-CERT-2014-1642 Unbound: Eine Schwachstelle ermöglicht einen Denial-of-Service-Angriff [Linux][Debian][Fedora][Unix][OpenBSD]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 2 (12.12.2014):
Für Fedora 20 und Fedora 21 stehen Sicherheitsupdates zur Verfügung.
Version 1 (11.12.2014):
Neues Advisory

Betroffene Software:

Unbound

Betroffene Plattformen:

Debian Linux 7.7 Wheezy
Debian Linux 8.0 Jessie
OpenBSD 5.6
Red Hat Fedora 20
Red Hat Fedora 21

Durch Ausnutzen dieser Schwachstelle kann ein entfernter, nicht
authentifizierter Angreifer einen Denial-of-Service (DoS)-Angriff
durchführen. Für Debian Wheezy und Debian Jessie wurden aktualisierte Pakete
von Unbound 1.4.17, bzw. 1.4.22 bereitgestellt. Für OpenBSD 5.6 wurde ein
Source-Code-Patch zur Verfügung gestellt.

Patch:

OpenBSD Security Advisory

http://www.openbsd.org/errata56.html

Patch:

Debian Security Advisory DSA-3097-1

https://www.debian.org/security/2014/dsa-3097

Patch:

Fedora Security Update FEDORA-2014-16647

https://admin.fedoraproject.org/updates/FEDORA-2014-16647/unbound-1.5.1-2.fc21

Patch:

Fedora Security Update FEDORA-2014-16671

https://admin.fedoraproject.org/updates/FEDORA-2014-16671/unbound-1.5.1-2.fc20

CVE-2014-8602: Schwachstelle in Unbound erlaubt Denial-of-Service

Eine Schwachstelle in iterator.c in NLnet Labs Unbound bevor 1.5.1 besteht
darin, dass Delegationsketten nicht limitiert werden. Ein entfernter, nicht
authentifizierter Angreifer kann die Schwachstelle ausnutzen, durch eine
große oder unendliche Anzahl von “Referrals”, um einen Denial-of-Service
(DoS)-Zustand (Speicher- und CPU-Verbrauch) herbeizuführen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-1642/

OpenBSD Security Advisory:
http://www.openbsd.org/errata56.html

Debian Security Advisory DSA-3097-1:
https://www.debian.org/security/2014/dsa-3097

Schwachstelle CVE-2014-8602 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-8602

Fedora Security Update FEDORA-2014-16647:
https://admin.fedoraproject.org/updates/FEDORA-2014-16647/unbound-1.5.1-2.fc21

Fedora Security Update FEDORA-2014-16671:
https://admin.fedoraproject.org/updates/FEDORA-2014-16671/unbound-1.5.1-2.fc20

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben