UPDATE: DFN-CERT-2015-1868 Redis: Eine Schwachstelle ermöglicht einen Denial-of-Service-Angriff [Linux][Debian][RedHat]

UPDATE: DFN-CERT-2015-1868 Redis: Eine Schwachstelle ermöglicht einen Denial-of-Service-Angriff [Linux][Debian][RedHat]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 2 (02.02.2016):
Für Red Hat Enterprise Linux OpenStack 6.0 für RHEL 7, Red Hat Enterprise
Linux OpenStack Platform 7.0 und Red Hat Enterprise Linux OpenStack
Platform 7.0 Operational Tools stehen Sicherheitsupdates in Form
aktualisierter Pakete von Redis zur Verfügung.
Version 1 (04.12.2015):
Neues Advisory

Betroffene Software:

Redis

Betroffene Plattformen:

Red Hat Enterprise Linux OpenStack 6
Red Hat Enterprise Linux OpenStack 7
Red Hat Enterprise Linux OpenStack 7 Operational Tools
Debian Linux 8.2 Jessie
Debian Linux 9.0 Stretch
Red Hat Enterprise Linux 7

Eine Schwachstelle in Redis, einer persistenten Key-Value-Datenbank, erlaubt
einem entfernten, nicht authentisierten Angreifer einen Denial-of-Service
(DoS)-Angriff durchzuführen.

Debian stellt für die stabile Distribution Jessie (8.2) und die ‘testing’
Distribution Stretch (9.0) Sicherheitsupdates zur Verfügung.

Patch:

Debian Security Advisory DSA-3412-1

https://www.debian.org/security/2015/dsa-3412

Patch:

Red Hat Security Advisory RHSA-2016:0095

http://rhn.redhat.com/errata/RHSA-2016-0095.html

Patch:

Red Hat Security Advisory RHSA-2016:0096

http://rhn.redhat.com/errata/RHSA-2016-0096.html

Patch:

Red Hat Security Advisory RHSA-2016:0097

http://rhn.redhat.com/errata/RHSA-2016-0097.html

CVE-2015-8080: Schwachstelle in Redis erlaubt Denial-of-Service

In lua_struct.c in Redis existiert eine Schwachstelle aufgrund eines
Skriptfehlers, durch die es zu einem Ganzzahlenübertrag (integer wraparound)
kommt, der zu einem Stack-basierten Pufferüberlauf führt. Ein Angreifer kann
diese Schwachstelle ausnutzen, indem er die ‘lua global’-Umgebung
manipuliert und Werte in einen Datensatz einfügt, auf dem das Skript
operiert. Dadurch ist es ihm möglich, den internen ‘lua’-Zustand zu
de-synchronisieren und die Anwendung zum Absturz zu bringen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-1868/

Schwachstelle CVE-2015-8080 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-8080

Debian Security Advisory DSA-3412-1:
https://www.debian.org/security/2015/dsa-3412

Red Hat Security Advisory RHSA-2016:0095:
http://rhn.redhat.com/errata/RHSA-2016-0095.html

Red Hat Security Advisory RHSA-2016:0096:
http://rhn.redhat.com/errata/RHSA-2016-0096.html

Red Hat Security Advisory RHSA-2016:0097:
http://rhn.redhat.com/errata/RHSA-2016-0097.html

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben