Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 5 (09.05.2016):
Für openSUSE 13.2 und openSUSE Leap 42.1 stehen
Backport-Sicherheitsupdates für Subversion zur Verfügung.
Version 4 (09.05.2016):
Für Fedora 23 und 24 stehen Sicherheitsupdates für Subversion auf die
Version 1.9.4 zur Verfügung. Das Sicherheitsupdate für Fedora 23 befindet
sich im Status ‘pending’ und das für Fedora 24 im Status ‘testing’.
Version 3 (06.05.2016):
Für SUSE Linux Enterprise Software Development Kit 12 und 12-SP1 stehen
Sicherheitsupdates für Subversion zur Verfügung.
Version 2 (02.05.2016):
Debian stellt für die Distribution Debian Jessie (stable) ein
Backport-Sicherheitsupdate bereit.
Version 1 (28.04.2016):
Neues Advisory

Betroffene Software:

Apache Software Foundation Subversion <= 1.8.15 Apache Software Foundation Subversion <= 1.9.3 Betroffene Plattformen: SUSE Linux Enterprise Software Development Kit 12 SUSE Linux Enterprise Software Development Kit 12 SP1 Debian Linux 8.4 Jessie GNU/Linux openSUSE 13.2 openSUSE Leap 42.1 Red Hat Fedora 23 Red Hat Fedora 24 Eine Schwachstelle ermöglicht einem entfernten, einfach authentisierten Angreifer Sicherheitsvorkehrungen zu umgehen, wenn svnserve die Bibliothek Cyrus SASL für die Authentifizierung nutzt. Eine weitere Schwachstelle erlaubt einem entfernten, nicht authentisierten Angreifer einen Denial-of-Service-Angriff durchzuführen. Für Apache Subversion stehen Sicherheitsupdates auf die Versionen Subversion 1.8.16 und 1.9.4 zur Verfügung, um diese Schwachstellen zu beheben. Patch: Apache Subversion Security Advisory SVN-ADV-CVE-2016-2167-advisory https://subversion.apache.org/security/CVE-2016-2167-advisory.txt

Patch:

Apache Subversion Security Advisory SVN-ADV-CVE-2016-2168-advisory

https://subversion.apache.org/security/CVE-2016-2168-advisory.txt

Patch:

Debian Security Advisory DSA-3561-1

https://www.debian.org/security/2016/dsa-3561

Patch:

SUSE Security Update SUSE-SU-2016:1249-1

https://www.suse.com/support/update/announcement/2016/suse-su-20161249-1.html

Patch:

Fedora Security Update FEDORA-2016-20cc04ac50 (Fedora 24)

https://bodhi.fedoraproject.org/updates/FEDORA-2016-20cc04ac50

Patch:

Fedora Security Update FEDORA-2016-e024b3e02b (Fedora 23)

https://bodhi.fedoraproject.org/updates/FEDORA-2016-e024b3e02b

Patch:

openSUSE Security Update openSUSE-SU-2016:1264-1

https://lists.opensuse.org/opensuse-updates/2016-05/msg00044.html

Patch:

openSUSE Security Update openSUSE-SU-2016:1263-1

https://lists.opensuse.org/opensuse-updates/2016-05/msg00043.html

CVE-2016-2168: Schwachstelle in Subversion ermöglicht Denial-of-Service

Im Modul ‘mod_authz_svn’ von Subversion kann die Bearbeitung der
Zugriffskontrolle im Fall von ‘MOVE’- oder ‘COPY’-Anfragen bei bestimmten
ungültigen Anfrage-Kopfdaten zu einer NULL-Zeiger-Dereferenzierung und einem
Segmentierungsfehler (Segmentation Fault) führen, wodurch es zu einem
Absturz des Programms kommt. Ein entfernter, nicht authentisierter Angreifer
kann einen Denial-of-Service-Angriff durchführen.

CVE-2016-2167: Schwachstelle in Subversion ermöglicht Umgehen von
Sicherheitsvorkehrungen

Der SVN-Protokoll-Server svnserve von Subversion kann die Cyrus SASL
Bibliothek optional nutzen, um Authentizität, Integrität und Verschlüsselung
zu gewährleisten. Aufgrund eines Fehlers kann ein Benutzer in dieser
Konstellation bei der Authentifizierung eine Realm-Zeichenkette angeben, die
ein Prefix der erwarteten Realm-Zeichenkette ist, wodurch ihm
fälschlicherweise Zugang zu einem Repository gewährt wird. Allerdings
greifen trotzdem die Zugriffskontrollregeln für Pfade weiterhin. Ein
entfernter, einfach authentisierter Angreifer kann Sicherheitsvorkehrungen
umgehen, wenn svnserve die Bibliothek Cyrus SASL für die Authentifizierung
nutzt.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2016-0689/

Apache Subversion Security Advisory SVN-ADV-CVE-2016-2167-advisory:
https://subversion.apache.org/security/CVE-2016-2167-advisory.txt

Apache Subversion Security Advisory SVN-ADV-CVE-2016-2168-advisory:
https://subversion.apache.org/security/CVE-2016-2168-advisory.txt

Schwachstelle CVE-2016-2167 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-2167

Schwachstelle CVE-2016-2168 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-2168

Debian Security Advisory DSA-3561-1:
https://www.debian.org/security/2016/dsa-3561

SUSE Security Update SUSE-SU-2016:1249-1:
https://www.suse.com/support/update/announcement/2016/suse-su-20161249-1.html

Fedora Security Update FEDORA-2016-20cc04ac50 (Fedora 24):
https://bodhi.fedoraproject.org/updates/FEDORA-2016-20cc04ac50

Fedora Security Update FEDORA-2016-e024b3e02b (Fedora 23):
https://bodhi.fedoraproject.org/updates/FEDORA-2016-e024b3e02b

openSUSE Security Update openSUSE-SU-2016:1264-1:
https://lists.opensuse.org/opensuse-updates/2016-05/msg00044.html

openSUSE Security Update openSUSE-SU-2016:1263-1:
https://lists.opensuse.org/opensuse-updates/2016-05/msg00043.html

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 4 (09.05.2016):
Für Fedora 23 und 24 stehen Sicherheitsupdates für Subversion auf die
Version 1.9.4 zur Verfügung. Das Sicherheitsupdate für Fedora 23 befindet
sich im Status ‘pending’ und das für Fedora 24 im Status ‘testing’.
Version 3 (06.05.2016):
Für SUSE Linux Enterprise Software Development Kit 12 und 12-SP1 stehen
Sicherheitsupdates für Subversion zur Verfügung.
Version 2 (02.05.2016):
Debian stellt für die Distribution Debian Jessie (stable) ein
Backport-Sicherheitsupdate bereit.
Version 1 (28.04.2016):
Neues Advisory

Betroffene Software:

Apache Software Foundation Subversion <= 1.8.15 Apache Software Foundation Subversion <= 1.9.3 Betroffene Plattformen: SUSE Linux Enterprise Software Development Kit 12 SUSE Linux Enterprise Software Development Kit 12 SP1 Debian Linux 8.4 Jessie GNU/Linux Red Hat Fedora 23 Red Hat Fedora 24 Eine Schwachstelle ermöglicht einem entfernten, einfach authentisierten Angreifer Sicherheitsvorkehrungen zu umgehen, wenn svnserve die Bibliothek Cyrus SASL für die Authentifizierung nutzt. Eine weitere Schwachstelle erlaubt einem entfernten, nicht authentisierten Angreifer einen Denial-of-Service-Angriff durchzuführen. Für Apache Subversion stehen Sicherheitsupdates auf die Versionen Subversion 1.8.16 und 1.9.4 zur Verfügung, um diese Schwachstellen zu beheben. Patch: Apache Subversion Security Advisory SVN-ADV-CVE-2016-2167-advisory https://subversion.apache.org/security/CVE-2016-2167-advisory.txt

Patch:

Apache Subversion Security Advisory SVN-ADV-CVE-2016-2168-advisory

https://subversion.apache.org/security/CVE-2016-2168-advisory.txt

Patch:

Debian Security Advisory DSA-3561-1

https://www.debian.org/security/2016/dsa-3561

Patch:

SUSE Security Update SUSE-SU-2016:1249-1

https://www.suse.com/support/update/announcement/2016/suse-su-20161249-1.html

Patch:

Fedora Security Update FEDORA-2016-20cc04ac50 (Fedora 24)

https://bodhi.fedoraproject.org/updates/FEDORA-2016-20cc04ac50

Patch:

Fedora Security Update FEDORA-2016-e024b3e02b (Fedora 23)

https://bodhi.fedoraproject.org/updates/FEDORA-2016-e024b3e02b

CVE-2016-2168: Schwachstelle in Subversion ermöglicht Denial-of-Service

Im Modul ‘mod_authz_svn’ von Subversion kann die Bearbeitung der
Zugriffskontrolle im Fall von ‘MOVE’- oder ‘COPY’-Anfragen bei bestimmten
ungültigen Anfrage-Kopfdaten zu einer NULL-Zeiger-Dereferenzierung und einem
Segmentierungsfehler (Segmentation Fault) führen, wodurch es zu einem
Absturz des Programms kommt. Ein entfernter, nicht authentisierter Angreifer
kann einen Denial-of-Service-Angriff durchführen.

CVE-2016-2167: Schwachstelle in Subversion ermöglicht Umgehen von
Sicherheitsvorkehrungen

Der SVN-Protokoll-Server svnserve von Subversion kann die Cyrus SASL
Bibliothek optional nutzen, um Authentizität, Integrität und Verschlüsselung
zu gewährleisten. Aufgrund eines Fehlers kann ein Benutzer in dieser
Konstellation bei der Authentifizierung eine Realm-Zeichenkette angeben, die
ein Prefix der erwarteten Realm-Zeichenkette ist, wodurch ihm
fälschlicherweise Zugang zu einem Repository gewährt wird. Allerdings
greifen trotzdem die Zugriffskontrollregeln für Pfade weiterhin. Ein
entfernter, einfach authentisierter Angreifer kann Sicherheitsvorkehrungen
umgehen, wenn svnserve die Bibliothek Cyrus SASL für die Authentifizierung
nutzt.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2016-0689/

Apache Subversion Security Advisory SVN-ADV-CVE-2016-2167-advisory:
https://subversion.apache.org/security/CVE-2016-2167-advisory.txt

Apache Subversion Security Advisory SVN-ADV-CVE-2016-2168-advisory:
https://subversion.apache.org/security/CVE-2016-2168-advisory.txt

Schwachstelle CVE-2016-2167 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-2167

Schwachstelle CVE-2016-2168 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-2168

Debian Security Advisory DSA-3561-1:
https://www.debian.org/security/2016/dsa-3561

SUSE Security Update SUSE-SU-2016:1249-1:
https://www.suse.com/support/update/announcement/2016/suse-su-20161249-1.html

Fedora Security Update FEDORA-2016-20cc04ac50 (Fedora 24):
https://bodhi.fedoraproject.org/updates/FEDORA-2016-20cc04ac50

Fedora Security Update FEDORA-2016-e024b3e02b (Fedora 23):
https://bodhi.fedoraproject.org/updates/FEDORA-2016-e024b3e02b

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.