Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 4 (08.09.2015):
Für openSUSE 13.1 und openSUSE 13.2 stehen Sicherheitsupdates auf die
perl-XML-LibXML Version 2.0.121 zur Verfügung.
Version 3 (27.08.2015):
Für SUSE Linux Enterprise Desktop 12 und Server 12 stehen
Sicherheitsupdates zur Verfügung.
Version 2 (05.05.2015):
Canonical stellt für die Distributionen Ubuntu 12.04 LTS, Ubuntu 14.04
LTS, Ubuntu 14.10 und Ubuntu (vivid) Sicherheitsupdates bereit.
Version 1 (04.05.2015):
Neues Advisory

Betroffene Software:

LibXML2

Betroffene Plattformen:

Canonical Ubuntu Linux 12.04 Lts
Canonical Ubuntu Linux 14.04 Lts
Canonical Ubuntu Linux 14.10
Canonical Ubuntu Linux Ubuntu (vivid)
Debian Linux 7.8 Wheezy
Debian Linux 8.0 Jessie
openSUSE 13.1
openSUSE 13.2
SUSE Linux Enterprise Desktop 12
SUSE Linux Enterprise Server 12

Durch Ausnutzen dieser Schwachstelle in LibXML2 kann entfernter, nicht
authentifizierter Angreifer einen “XML eXternal Entities (XXE)”-Angriff
durchführen, wodurch er lesenden Zugriff auf Resourcen erhält, die
anderenfalls geschützt wären, abhängig von der Verwendung der Bibliothek.
Für die alte stabile Distribution Debian Wheezy (7.8) und die aktuelle
stabile Distribution Debian Jessie (8.0) werden Sicherheitsupdates in Form
der Pakete 2.0001+dfsg-1+deb7u1, bzw. 2.0116+dfsg-1+deb8u1 zur Verfügung
gestellt.

Patch:

Debian Security Advisory DSA-3243-1

https://www.debian.org/security/2015/dsa-3243

Patch:

Ubuntu Security Notice USN-2592-1 XML

http://www.ubuntu.com/usn/usn-2592-1/

Patch:

SUSE Security Update SUSE-SU-2015:1439-1

https://www.suse.com/support/update/announcement/2015/suse-su-20151439-1.html

Patch:

openSUSE Security Update openSUSE-SU-2015:1506-1

http://lists.opensuse.org/opensuse-updates/2015-09/msg00006.html

CVE-2015-3451: Schwachstelle in XML::LibXML erlaubt XXE-Angriffe

Eine Schwachstelle in XML::LibXML, einer Perl-Schnittstelle für die
libxml2-Bibliothek, besteht darin, dass diese unter bestimmten Umständen den
“expand_entities”-Parameter ignoriert, wenn durch diesen eigentlich die
Verarbeitung von External Entities deaktiviert sein sollte.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-0642/

Debian Security Advisory DSA-3243-1:
https://www.debian.org/security/2015/dsa-3243

Schwachstelle CVE-2015-3451 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-3451

Ubuntu Security Notice USN-2592-1 XML:
http://www.ubuntu.com/usn/usn-2592-1/

SUSE Security Update SUSE-SU-2015:1439-1:
https://www.suse.com/support/update/announcement/2015/suse-su-20151439-1.html

openSUSE Security Update openSUSE-SU-2015:1506-1:
http://lists.opensuse.org/opensuse-updates/2015-09/msg00006.html

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 3 (27.08.2015):
Für SUSE Linux Enterprise Desktop 12 und Server 12 stehen
Sicherheitsupdates zur Verfügung.
Version 2 (05.05.2015):
Canonical stellt für die Distributionen Ubuntu 12.04 LTS, Ubuntu 14.04
LTS, Ubuntu 14.10 und Ubuntu (vivid) Sicherheitsupdates bereit.
Version 1 (04.05.2015):
Neues Advisory

Betroffene Software:

LibXML2

Betroffene Plattformen:

Canonical Ubuntu Linux 12.04 Lts
Canonical Ubuntu Linux 14.04 Lts
Canonical Ubuntu Linux 14.10
Canonical Ubuntu Linux Ubuntu (vivid)
Debian Linux 7.8 Wheezy
Debian Linux 8.0 Jessie
SUSE Linux Enterprise Desktop 12
SUSE Linux Enterprise Server 12

Durch Ausnutzen dieser Schwachstelle in LibXML2 kann entfernter, nicht
authentifizierter Angreifer einen “XML eXternal Entities (XXE)”-Angriff
durchführen, wodurch er lesenden Zugriff auf Resourcen erhält, die
anderenfalls geschützt wären, abhängig von der Verwendung der Bibliothek.
Für die alte stabile Distribution Debian Wheezy (7.8) und die aktuelle
stabile Distribution Debian Jessie (8.0) werden Sicherheitsupdates in Form
der Pakete 2.0001+dfsg-1+deb7u1, bzw. 2.0116+dfsg-1+deb8u1 zur Verfügung
gestellt.

Patch:

Debian Security Advisory DSA-3243-1

https://www.debian.org/security/2015/dsa-3243

Patch:

Ubuntu Security Notice USN-2592-1 XML

http://www.ubuntu.com/usn/usn-2592-1/

Patch:

SUSE Security Update SUSE-SU-2015:1439-1

https://www.suse.com/support/update/announcement/2015/suse-su-20151439-1.html

CVE-2015-3451: Schwachstelle in XML::LibXML erlaubt XXE-Angriffe

Eine Schwachstelle in XML::LibXML, einer Perl-Schnittstelle für die
libxml2-Bibliothek, besteht darin, dass diese unter bestimmten Umständen den
“expand_entities”-Parameter ignoriert, wenn durch diesen eigentlich die
Verarbeitung von External Entities deaktiviert sein sollte.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-0642/

Debian Security Advisory DSA-3243-1:
https://www.debian.org/security/2015/dsa-3243

Schwachstelle CVE-2015-3451 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-3451

Ubuntu Security Notice USN-2592-1 XML:
http://www.ubuntu.com/usn/usn-2592-1/

SUSE Security Update SUSE-SU-2015:1439-1:
https://www.suse.com/support/update/announcement/2015/suse-su-20151439-1.html

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.