UPDATE: DFN-CERT-2016-0542 Bibliothek libsrtp: Eine Schwachstelle ermöglicht einen Denial-of-Service-Angriff [Linux][Debian][Fedora][Netzwerk][Cisco]

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 4 (21.04.2016):
Cisco informiert über die Veröffentlichung der Secure Real-Time Transport
Protocol (SRTP) Bibliothek Version 1.5.3, welche die beschriebene
Denial-of-Service-Schwachstelle adressiert. Die Bibliothek wird in
verschiedenen Cisco Produkten verwendet, für diese stehen die folgenden
Sicherheitsupdates zur Verfügung:
Cisco Jabber 11.6; Cisco Adaptive Security Appliance (ASA) Software
8.4.7.31, 9.1.7, 9.2.4.6 und 9.3.3.8, Cisco IOS XE 3.14.3S, 3.13.5S,
3.16.2S, 3.10.7S, 3.17.1S und 3.15.3S (Cisco IOS XE ist nur angreifbar,
wenn die Nutzung von Cisco Unified Border Element (CUBE) oder Session
Border Controller (SBC) aktiviert ist); Cisco Unified Communications
Manager (UCM) 10.5(2)SU3 sowie Cisco Unity Connection (UC) 10.5(2)SU3.
Für verschiedene IP Telefone stehen ebenfalls Sicherheitsupdates zur
Verfügung oder sind angekündigt, wie auch die Versionen 2.6.1 und 2.7 für
den Cisco WebEx Meetings Server, die im Juni bereitstehen sollen.
Version 3 (18.04.2016):
Fedora weist darauf hin, dass das Sicherheitsupdate für Fedora EPEL 6
einen Rebuild der Pakete ‘pjproject-2.3-7.el6’ und
‘asterisk-1.8.32.3-2.el6’ erfordert. Die entsprechenden Pakete stehen als
Sicherheitsupdates im Status ‘testing’ bereit.
Version 2 (07.04.2016):
Für Fedora EPEL 6 steht ein Sicherheitsupdate auf libsrtp 1.5.4 im Status
‘testing’ bereit.
Version 1 (04.04.2016):
Neues Advisory

Betroffene Software:

Bibliothek libsrtp

Betroffene Plattformen:

Cisco Adaptive Security Appliance Software
Cisco Jabber
Cisco Unified Communications Manager
Cisco Unity Connection Server
Cisco WebEx Meetings Server 1.x
Cisco WebEx Meetings Server 2.x
Cisco IOS XE
Debian Linux 7.9 Wheezy
Debian Linux 8.3 Jessie
Extra Packages for Red Hat Enterprise Linux 6

Ein entfernter, nicht authentifizierter Angreifer kann mit Hilfe speziell
präparierter RTP-Pakete, beispielsweise über Audio- und Videostreaming,
einen Denial-of-Service-Angriff auf eine mit der Bibliothek libsrtp
verknüpfte Anwendung durchführen.

Debian stellt für die Distributionen Wheezy (oldstable) und Jessie (stable)
Sicherheitsupdates bereit.

Patch:

Debian Security Advisory DSA-3539-1

https://www.debian.org/security/2016/dsa-3539

Patch:

Fedora Security Update FEDORA-EPEL-2016-e912272569 (Fedora EPEL 6,
libsrtp-1.5.4)

https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2016-e912272569

Patch:

Cisco Security Advisory cisco-sa-20160420-libsrtp (CVE-2015-6360)

http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160420-libsrtp

CVE-2015-6360: Schwachstelle in Bibliothek libsrtp ermöglicht
Denial-of-Service-Angriff

Für die Parameter ‘CSRC Count’ und ‘Header Extension Length’ in Real-Time
Transport Protocol Kopfdaten (RTP-Header) fehlen in der Bibliothek libsrtp
Gültigkeitsprüfungen hinsichtlich der Wertebereiche (Bounds Checking).

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2016-0542/

Debian Security Advisory DSA-3539-1:
https://www.debian.org/security/2016/dsa-3539

Fedora Security Update FEDORA-EPEL-2016-e912272569 (Fedora EPEL 6,
libsrtp-1.5.4):
https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2016-e912272569

Schwachstelle CVE-2015-6360 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-6360

Cisco Security Advisory cisco-sa-20160420-libsrtp (CVE-2015-6360):
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160420-libsrtp

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.