UPDATE: DFN-CERT-2015-0201 File: Mehrere Schwachstellen ermöglichen Denial-of-Service-Angriff [Linux][SuSE]

UPDATE: DFN-CERT-2015-0201 File: Mehrere Schwachstellen ermöglichen Denial-of-Service-Angriff [Linux][SuSE]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 2 (23.11.2017):
Für die SUSE Linux Enterprise Produkte Server, Desktop und Software
Development Kit in den Versionen 12 SP2 und 12 SP3, Server for Raspberry
PI 12 SP2, SUSE Container as a Service Platform ALL sowie OpenStack Magnum
Orchestration 7 stehen Sicherheitsupdates für das Paket ‘file’ zur
Behebung der Schwachstellen zur Verfügung.
Version 1 (17.02.2015):
Neues Advisory

Betroffene Software:

File <= 5.21 Betroffene Plattformen: SUSE Container-as-a-Service-(CaaS)-Plattform ALL SUSE Linux Enterprise Software Development Kit 12 SP2 SUSE Linux Enterprise Software Development Kit 12 SP3 OpenStack Magnum 7 SUSE Linux Enterprise Desktop 12 SP2 SUSE Linux Enterprise Desktop 12 SP3 SUSE Linux Enterprise Server 12 SP2 SUSE Linux Enterprise Server 12 SP2 for Raspberry Pi SUSE Linux Enterprise Server 12 SP3 Mehrere Schwachstellen in File ermöglichen einem entfernten, nicht authentifizierten Angreifer einen Denial-of-Service-Angriff durchzuführen und in einem Falle einem lokalen, nicht authentifizierten Angreifer, Informationen auszuspähen. Für Fedora 21 wird ein Sicherheitsupdate, Paket file-5.22-2.fc21 (im Status "testing"), zur Verfügung gestellt. Patch: Fedora Security Update FEDORA-2015-2020 https://admin.fedoraproject.org/updates/FEDORA-2015-2020/file-5.22-2.fc21

Patch:

SUSE Security Update SUSE-SU-2017:3048-1

http://lists.suse.com/pipermail/sle-security-updates/2017-November/003403.html

CVE-2014-9653: Schwachstelle in File ermöglicht das Ausspähen von
Informationen

Eine Schwachstelle in der Datei readelf.c in File führt dazu, dass die
Funktion pread() den Speicherbereich, der gelesen wird, nur unvollständig
prüft. Wenn Valgrind als Speichertest eingesetzt wird, zeigt die
Debug-Ausgabe Informationen aus nicht initialisierten Speicherbereichen. Ein
lokaler, nicht authentifizierter Angreifer kann Informationen ausspähen.

CVE-2014-9621: Schwachstelle in File ermöglicht Denial-of-Service-Angriff

Eine Schwachstelle im ELF-Parser in File führt dazu, dass es bei der
Verarbeitung von ELF-Dateien keine Begrenzung für Zeichenketten aus der
Eingabe gibt. Ein entfernter, nicht authentifizierter Angreifer kann durch
die Verwendung von sehr langen Zeichenketten einen Denial-of-Service-Angriff
durchführen.

CVE-2014-9620: Schwachstelle in File ermöglicht Denial-of-Service-Angriff

Eine Schwachstelle im ELF-Parser in File begrenzt die Anzahl der ELF-Notes,
welche bearbeitet werden, nicht, wodurch die lokalen Ressourcen aufgebraucht
werden können. Ein entfernter, nicht authentifizierter Angreifer kann durch
das Ausnutzen der Schwachstelle einen Denial-of-Service-Angriff durchführen.

CVE-2014-8117: Schwachstelle in File ermöglicht Denial-of-Service-Angriff

Eine Schwachstelle in “softmagic.c in File besteht darin, dass Rekursionen
nicht ordentlich begrenzt werden. Ein entfernter, nicht authentifizierter
Angreifer kann diese Schwachstelle ausnutzen, um die Anwendung abstürzen zu
lassen.

CVE-2014-8116: Schwachstelle in File ermöglicht Denial-of-Service-Angriff

Eine Schwachstelle besteht im Elf-Parser (readelf.c), der von File verwendet
wird. Ein entfernter, nicht authentifizierter Angreifer kann diese
Schwachstelle ausnutzen, um die Anwendung abstürzen zu lassen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-0201/

Schwachstelle CVE-2014-8116 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-8116

Schwachstelle CVE-2014-8117 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-8117

Schwachstelle CVE-2014-9620 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-9620

Schwachstelle CVE-2014-9621 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-9621

Schwachstelle CVE-2014-9653 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-9653

Fedora Security Update FEDORA-2015-2020:
https://admin.fedoraproject.org/updates/FEDORA-2015-2020/file-5.22-2.fc21

SUSE Security Update SUSE-SU-2017:3048-1:
http://lists.suse.com/pipermail/sle-security-updates/2017-November/003403.html

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben