Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 4 (29.01.2015):
Für das Software Development Kit für SUSE Linux Enterprise 11 SP3 und 12
sowie SUSE Studio Onsite 1.3 stehen Sicherheitsupdates bereit.
Version 3 (30.12.2014):
Für openSUSE 13.2, 13.1 und 12.3 werden Sicherheitsupdates bereitgestellt.

Version 2 (18.12.2014):
Für Fedora 20 und 21 werden Sicherheitsupdates bereitgestellt.
Version 1 (16.12.2014):
Neues Advisory

Betroffene Software:

Apache Subversion <= 1.7.18 Apache Subversion <= 1.8.10 Betroffene Plattformen: Apache Subversion SUSE Software Development Kit 11 SP3 Enterprise SUSE Software Development Kit 12 Enterprise SUSE Studio Onsite 1.3 openSUSE 12.3 openSUSE 13.1 openSUSE 13.2 Red Hat Fedora 20 Red Hat Fedora 21 Ein entfernter, nicht authentifizierter Angreifer kann diese Schwachstellen für Denial-of-Service Angriffe ausnutzen. Patch: Subversion Security Update SVN-ADV-CVE-2014-3580-advisory https://subversion.apache.org/security/CVE-2014-3580-advisory.txt

Patch:

Subversion Security Update SVN-ADV-CVE-2014-8108-advisory

https://subversion.apache.org/security/CVE-2014-8108-advisory.txt

Patch:

Fedora Security Update FEDORA-2014-17118

https://admin.fedoraproject.org/updates/FEDORA-2014-17118/subversion-1.8.11-1.fc21

Patch:

Fedora Security Update FEDORA-2014-17222

https://admin.fedoraproject.org/updates/FEDORA-2014-17222/subversion-1.8.11-1.fc20

Patch:

openSUSE Security Update openSUSE-SU-2014:1725-1

http://lists.opensuse.org/opensuse-updates/2014-12/msg00107.html

Patch:

SUSE Security Update SUSE-SU-2015:0153-1

https://www.suse.com/support/update/announcement/2015/suse-su-20150153-1.html

Patch:

SUSE Security Update SUSE-SU-2015:0155-1

https://www.suse.com/support/update/announcement/2015/suse-su-20150155-1.html

Patch:

SUSE Security Update SUSE-SU-2015:0155-2

https://www.suse.com/support/update/announcement/2015/suse-su-20150155-2.html

CVE-2014-8108: Schwachstelle in Subversion ermöglicht
Denial-of-Service-Angriff

Ein Fehler bei der Verwendung der Zuordnung eines virtuellen
Transaktionsnamens zu einer internen Transaktions-ID führt dazu, dass nicht
ausreichend geprüft wird, ob die ID nicht NULL ist. Die weitere Verwendung
einer Transaktions-ID mit dem Wert NULL führt zu einem Anwendungsabsturz.
Ein entfernter, nicht authentifizierter Angreifer kann, durch die Verwendung
eines nicht existierenden virtuellen Transaktionsnamen, einen
Denial-of-Service-Angriff durchführen.

CVE-2014-3580: Denial-of-Service-Schwachstelle in Apache Subversion

Durch einen Programmierfehler im Modul mod_dav_svn von Apache Subversion
werden “REPORT” Requests nicht korrekt verarbeitet. Der Programmierfehler
ermöglicht das Dereferenzieren eines Nullzeigers, wodurch ein
Denial-of-Service-Zustand ausgelöst werden kann. Ein entfernter, nicht
authentifizierter Angreifer kann dies mit Hilfe von präparierten “REPORT”
Requests ausnutzen und so mod_dav_svn zum Absturz bringen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-1669/

Subversion Security Update SVN-ADV-CVE-2014-3580-advisory:
https://subversion.apache.org/security/CVE-2014-3580-advisory.txt

Subversion Security Update SVN-ADV-CVE-2014-8108-advisory:
https://subversion.apache.org/security/CVE-2014-8108-advisory.txt

Schwachstelle CVE-2014-3580 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3580

Schwachstelle CVE-2014-8108 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-8108

Fedora Security Update FEDORA-2014-17118:
https://admin.fedoraproject.org/updates/FEDORA-2014-17118/subversion-1.8.11-1.fc21

Fedora Security Update FEDORA-2014-17222:
https://admin.fedoraproject.org/updates/FEDORA-2014-17222/subversion-1.8.11-1.fc20

openSUSE Security Update openSUSE-SU-2014:1725-1:
http://lists.opensuse.org/opensuse-updates/2014-12/msg00107.html

SUSE Security Update SUSE-SU-2015:0153-1:
https://www.suse.com/support/update/announcement/2015/suse-su-20150153-1.html

SUSE Security Update SUSE-SU-2015:0155-1:
https://www.suse.com/support/update/announcement/2015/suse-su-20150155-1.html

SUSE Security Update SUSE-SU-2015:0155-2:
https://www.suse.com/support/update/announcement/2015/suse-su-20150155-2.html

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 3 (30.12.2014):
Für openSUSE 13.2, 13.1 und 12.3 werden Sicherheitsupdates bereitgestellt.

Version 2 (18.12.2014):
Für Fedora 20 und 21 werden Sicherheitsupdates bereitgestellt.
Version 1 (16.12.2014):
Neues Advisory

Betroffene Software:

Apache Subversion <= 1.7.18 Apache Subversion <= 1.8.10 Betroffene Plattformen: Apache Subversion openSUSE 12.3 openSUSE 13.1 openSUSE 13.2 Red Hat Fedora 20 Red Hat Fedora 21 Ein entfernter, nicht authentifizierter Angreifer kann diese Schwachstellen für Denial-of-Service Angriffe ausnutzen. Patch: Subversion Security Update SVN-ADV-CVE-2014-3580-advisory https://subversion.apache.org/security/CVE-2014-3580-advisory.txt

Patch:

Subversion Security Update SVN-ADV-CVE-2014-8108-advisory

https://subversion.apache.org/security/CVE-2014-8108-advisory.txt

Patch:

Fedora Security Update FEDORA-2014-17118

https://admin.fedoraproject.org/updates/FEDORA-2014-17118/subversion-1.8.11-1.fc21

Patch:

Fedora Security Update FEDORA-2014-17222

https://admin.fedoraproject.org/updates/FEDORA-2014-17222/subversion-1.8.11-1.fc20

Patch:

openSUSE Security Update openSUSE-SU-2014:1725-1

http://lists.opensuse.org/opensuse-updates/2014-12/msg00107.html

CVE-2014-8108: Schwachstelle in Subversion ermöglicht
Denial-of-Service-Angriff

Ein Fehler bei der Verwendung der Zuordnung eines virtuellen
Transaktionsnamens zu einer internen Transaktions-ID führt dazu, dass nicht
ausreichend geprüft wird, ob die ID nicht NULL ist. Die weitere Verwendung
einer Transaktions-ID mit dem Wert NULL führt zu einem Anwendungsabsturz.
Ein entfernter, nicht authentifizierter Angreifer kann, durch die Verwendung
eines nicht existierenden virtuellen Transaktionsnamen, einen
Denial-of-Service-Angriff durchführen.

CVE-2014-3580: Denial-of-Service-Schwachstelle in Apache Subversion

Durch einen Programmierfehler im Modul mod_dav_svn von Apache Subversion
werden “REPORT” Requests nicht korrekt verarbeitet. Der Programmierfehler
ermöglicht das Dereferenzieren eines Nullzeigers, wodurch ein
Denial-of-Service-Zustand ausgelöst werden kann. Ein entfernter, nicht
authentifizierter Angreifer kann dies mit Hilfe von präparierten “REPORT”
Requests ausnutzen und so mod_dav_svn zum Absturz bringen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-1669/

Subversion Security Update SVN-ADV-CVE-2014-3580-advisory:
https://subversion.apache.org/security/CVE-2014-3580-advisory.txt

Subversion Security Update SVN-ADV-CVE-2014-8108-advisory:
https://subversion.apache.org/security/CVE-2014-8108-advisory.txt

Schwachstelle CVE-2014-3580 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3580

Schwachstelle CVE-2014-8108 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-8108

Fedora Security Update FEDORA-2014-17118:
https://admin.fedoraproject.org/updates/FEDORA-2014-17118/subversion-1.8.11-1.fc21

Fedora Security Update FEDORA-2014-17222:
https://admin.fedoraproject.org/updates/FEDORA-2014-17222/subversion-1.8.11-1.fc20

openSUSE Security Update openSUSE-SU-2014:1725-1:
http://lists.opensuse.org/opensuse-updates/2014-12/msg00107.html

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.