UPDATE: DFN-CERT-2015-0836 libzmq: Eine Schwachstelle ermöglicht das Umgehen von Sicherheitsvorkehrungen [Linux][Debian][SuSE]

UPDATE: DFN-CERT-2015-0836 libzmq: Eine Schwachstelle ermöglicht das Umgehen von Sicherheitsvorkehrungen [Linux][Debian][SuSE]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 2 (08.09.2015):
Für SUSE Linux Enterprise Workstation Extension 12, Software Development
Kit 12, Desktop 12 sowie SUSE Enterprise Storage 1.0 stehen
Backport-Sicherheitsupdates für ‘zeromq’ zur Verfügung.
Version 1 (11.06.2015):
Neues Advisory

Betroffene Software:

libzmq <= 4.0.5 Betroffene Plattformen: SUSE Linux Enterprise Workstation Extension 12 SUSE Linux Enterprise Software Development Kit 12 SUSE Enterprise Storage 1.0 Debian Linux 8.0 Jessie Debian Linux 9.0 Stretch openSUSE 13.1 openSUSE 13.2 SUSE Linux Enterprise Desktop 12 Eine Schwachstelle in libzmq ermöglicht einem entfernten, nicht authentifizierten Angreifer Sicherheitsvorkehrungen zu umgehen. Patch: Debian Security Advisory DSA-3255-1 https://www.debian.org/security/2015/dsa-3255

Patch:

openSUSE Security Update openSUSE-SU-2015:1028-1

http://lists.opensuse.org/opensuse-updates/2015-06/msg00018.html

Patch:

SUSE Security Update SUSE-SU-2015:1510-1

https://www.suse.com/support/update/announcement/2015/suse-su-20151510-1.html

CVE-2014-9721: Schwachstelle in libzmq ermöglicht Umgehen von
Sicherheitsvorkehrungen

Eine Schwachstelle bei der Aushandlung der Protokollversion von libzmq
Socket-Verbindungen ermöglicht das Herabstufen der verwendeten
Protokollversion. Die Versendung von ZMTP v2 oder älteren Kopfzeilen führt
dazu, dass die Verwendung von ZMTP v3 und der darin implementierten
Sicherheitsvorkehrungen umgangen wird.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-0836/

Debian Security Advisory DSA-3255-1:
https://www.debian.org/security/2015/dsa-3255

Schwachstelle CVE-2014-9721 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-9721

openSUSE Security Update openSUSE-SU-2015:1028-1:
http://lists.opensuse.org/opensuse-updates/2015-06/msg00018.html

SUSE Security Update SUSE-SU-2015:1510-1:
https://www.suse.com/support/update/announcement/2015/suse-su-20151510-1.html

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben