Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 2 (29.03.2016):
Für die Distributionen Fedora 22, 23 und 24 sowie Fedora EPEL 7 stehen
neue Sicherheitsupdates auf Programmversion 1.2.0 im Status ‘testing’
bereit. Die vorangegangenen Sicherheitsupdates auf die Version 1.1.5
wurden in den Status ‘obsolet’ versetzt.

Version 1 (21.03.2016):
Neues Advisory

Betroffene Software:

Bibliothek libmaxminddb <= 1.1.1 Betroffene Plattformen: Red Hat Fedora 22 Red Hat Fedora 23 Red Hat Fedora 24 Extra Packages for Red Hat Enterprise Linux 7 Ein entfernter, einfach authentifizierter Angreifer kann mehrere Schwachstellen in der Bibliothek libmaxminddb ausnutzen, um verschiedene Denial-of-Service (DoS)-Angriffe durchzuführen. MaxMind bestätigt die Schwachstellen und hat die Programmversion 1.1.2 als Sicherheitsupdate zur Behebung der Schwachstellen zur Verfügung gestellt. Für die Distributionen Fedora 22, 23 und 24 sowie Fedora EPEL 7 stehen Sicherheitsupdates auf Programmversion 1.1.5 bereit, die sich derzeit noch im Status 'pending' befinden. Patch: Fedora Security Update FEDORA-2016-2d33f969b7 (Fedora 24, libmaxminddb 1.2.0) https://bodhi.fedoraproject.org/updates/FEDORA-2016-2d33f969b7

Patch:

Fedora Security Update FEDORA-2016-b05672c54f (Fedora 23, libmaxminddb
1.2.0)

https://bodhi.fedoraproject.org/updates/FEDORA-2016-b05672c54f

Patch:

Fedora Security Update FEDORA-2016-c14cf5e34a (Fedora 22, libmaxminddb
1.2.0)

https://bodhi.fedoraproject.org/updates/FEDORA-2016-c14cf5e34a

Patch:

Fedora Security Update FEDORA-EPEL-2016-41437a502e (Fedora EPEL 7,
libmaxminddb 1.2.0)

https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2016-41437a502e

Red Hat Bug ID 1283919: Schwachstellen in Bibliothek libmaxminddb
ermöglichen Denial-of-Service-Angriffe

In der Bibliothek libmaxminddb bestehen mehrere Schwachstellen, die aufgrund
fehlender Grenzüberprüfungen und Datentypvalidierungen zu einem
Ausnahmefehler (Segmentation Fault) führen können.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2016-0482/

Bibliothek libmaxminddb Release Notes:
https://github.com/maxmind/libmaxminddb/blob/master/Changes.md

Red Hat Bug ID 1283919:
https://bugzilla.redhat.com/show_bug.cgi?id=1283919

Fedora Security Update FEDORA-2016-2d33f969b7 (Fedora 24, libmaxminddb 1.2.0):
https://bodhi.fedoraproject.org/updates/FEDORA-2016-2d33f969b7

Fedora Security Update FEDORA-2016-b05672c54f (Fedora 23, libmaxminddb 1.2.0):
https://bodhi.fedoraproject.org/updates/FEDORA-2016-b05672c54f

Fedora Security Update FEDORA-2016-c14cf5e34a (Fedora 22, libmaxminddb 1.2.0):
https://bodhi.fedoraproject.org/updates/FEDORA-2016-c14cf5e34a

Fedora Security Update FEDORA-EPEL-2016-41437a502e (Fedora EPEL 7,
libmaxminddb 1.2.0):
https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2016-41437a502e

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.