UPDATE: DFN-CERT-2015-1816 GnuPG Libksba: Mehrere Schwachstellen ermöglichen einen Denial-of-Service-Angriff [Linux][SuSE]

UPDATE: DFN-CERT-2015-1816 GnuPG Libksba: Mehrere Schwachstellen ermöglichen einen Denial-of-Service-Angriff [Linux][SuSE]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 2 (30.11.2015):
Für die Distribution openSUSE Leap 42.1 werden Backport-Sicherheitsupdates
bereitgestellt, um die Schwachstellen zu beheben.
Version 1 (25.11.2015):
Neues Advisory

Betroffene Software:

GnuPG Libksba <= 1.3.2 Betroffene Plattformen: SUSE Linux Enterprise Software Development Kit 12 openSUSE 13.1 openSUSE 13.2 openSUSE Leap 42.1 SUSE Linux Enterprise Desktop 12 SUSE Linux Enterprise Server 12 Mehrere Schwachstellen in der Bibliothek libksba vor Version 1.3.3 ermöglichen einem entfernten, nicht authentifizierten Angreifer einen Denial-of-Service-Zustand durch die Beendigung des Programms, das diese Bibliothek eingebunden hat, herbeizuführen. Für die Distributionen openSUSE 13.1 und 13.2 sowie SUSE Linux Enterprise SDK 12, Server 12 und Desktop 12 werden Backport-Sicherheitsupdates bereitgestellt, um die Schwachstellen zu beheben. Patch: SUSE Security Update SUSE-SU-2015:2056-1 https://www.suse.com/support/update/announcement/2015/suse-su-20152056-1.html

Patch:

openSUSE Security Update openSUSE-SU-2015:2057-1

http://lists.opensuse.org/opensuse-updates/2015-11/msg00117.html

Patch:

openSUSE Security Update openSUSE-SU-2015:2155-1

http://lists.opensuse.org/opensuse-updates/2015-11/msg00173.html

SUSE-BUG-ID-926826-1: Schwachstellen in libksba ermöglichen
Denial-of-Service-Angriff

In der Bibliothek libksba vor Version 1.3.3 existieren mehrere Fehler, die
zu einem Abbruch des Programms führen, das die libksba eingebunden hat. Im
BER-Dekoder kann es zu einem Integer-Überlauf kommen, der einen
Speicherüberlauf zur Folge hat. In diesem Dekoder kann es außerdem zu einem
Überlauf eines internen Stacks kommen. Ferner kann eine ungültige
UTF8-Kodierung in der DN-Komponente zu einem fehlerhaften Auslösen einer
Abbruchbedingung (Assert) führen, wodurch es zu einem Lesen außerhalb von
Begrenzungen kommt. Ein entfernter, nicht authentifizierter Angreifer kann
diese Schwachstellen ausnutzen, um einen Denial-of-Service-Zustand durch die
Beendigung des Programms herbeizuführen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-1816/

SUSE Security Update SUSE-SU-2015:2056-1:
https://www.suse.com/support/update/announcement/2015/suse-su-20152056-1.html

openSUSE Security Update openSUSE-SU-2015:2057-1:
http://lists.opensuse.org/opensuse-updates/2015-11/msg00117.html

SUSE Bugzilla ID 926826:
https://bugzilla.suse.com/show_bug.cgi?id=926826

openSUSE Security Update openSUSE-SU-2015:2155-1:
http://lists.opensuse.org/opensuse-updates/2015-11/msg00173.html

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben