Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 3 (25.05.2016):
Red Hat stellt ein Sicherheitsupdate für die OpenStack Plattform 8.0
(Liberty) zur Verfügung.
Version 2 (24.05.2016):
Red Hat stellt für die OpenStack Plattform 6.0 (Juno) und 7.0 (Kilo) für
Red Hat Enterprise Linux 7 Sicherheitsupdates zur Verfügung.
Version 1 (04.05.2016):
Neues Advisory

Betroffene Software:

Red Hat Enterprise Linux OpenStack 6.0 (Juno)
Red Hat Enterprise Linux OpenStack 7.0 (Kilo)
Red Hat Enterprise Linux OpenStack 8.0 (Liberty)
jq

Betroffene Plattformen:

openSUSE 13.2
openSUSE Leap 42.1
Red Hat Enterprise Linux 7

Ein entfernter, nicht authentifizierter Angreifer kann mit Hilfe speziell
präparierter JSON-Daten einen Denial-of-Service (DoS)-Angriff auf jq und
möglicherweise beliebigen Programmcode auf dem System des Opfers ausführen.

Für openSUSE 13.2 und openSUSE Leap 42.1 stehen Sicherheitsupdates bereit.

Patch:

openSUSE Security Update openSUSE-SU-2016:1212-1

https://lists.opensuse.org/opensuse-updates/2016-05/msg00012.html

Patch:

openSUSE Security Update openSUSE-SU-2016:1214-1

https://lists.opensuse.org/opensuse-updates/2016-05/msg00014.html

Patch:

Red Hat Security Advisory RHSA-2016:1098

http://rhn.redhat.com/errata/RHSA-2016-1098.html

Patch:

Red Hat Security Advisory RHSA-2016:1099

http://rhn.redhat.com/errata/RHSA-2016-1099.html

Patch:

Red Hat Security Advisory RHSA-2016:1106

http://rhn.redhat.com/errata/RHSA-2016-1106.html

CVE-2015-8863: Schwachstelle in jq ermöglicht Denial-of-Service-Angriff

In der Funktion ‘tokenadd()’ unterhalb von ‘check_literal’ in jq wird eine
Null (‘0’) an das Ende des aktiven Tokens gehängt, um die Umwandlung von
Dezimal in Binär und andersherum zu ermöglichen, ohne dass für das Zeichen
Platz im Puffer vorhanden ist.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2016-0708/

Schwachstelle CVE-2015-8863 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-8863

openSUSE Security Update openSUSE-SU-2016:1212-1:
https://lists.opensuse.org/opensuse-updates/2016-05/msg00012.html

openSUSE Security Update openSUSE-SU-2016:1214-1:
https://lists.opensuse.org/opensuse-updates/2016-05/msg00014.html

Red Hat Security Advisory RHSA-2016:1098:
http://rhn.redhat.com/errata/RHSA-2016-1098.html

Red Hat Security Advisory RHSA-2016:1099:
http://rhn.redhat.com/errata/RHSA-2016-1099.html

Red Hat Security Advisory RHSA-2016:1106:
http://rhn.redhat.com/errata/RHSA-2016-1106.html

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 2 (24.05.2016):
Red Hat stellt für die OpenStack Plattform 6.0 (Juno) und 7.0 (Kilo) für
Red Hat Enterprise Linux 7 Sicherheitsupdates zur Verfügung.
Version 1 (04.05.2016):
Neues Advisory

Betroffene Software:

Red Hat Enterprise Linux OpenStack 6.0 (Juno)
Red Hat Enterprise Linux OpenStack 7.0 (Kilo)
jq

Betroffene Plattformen:

openSUSE 13.2
openSUSE Leap 42.1
Red Hat Enterprise Linux 7

Ein entfernter, nicht authentifizierter Angreifer kann mit Hilfe speziell
präparierter JSON-Daten einen Denial-of-Service (DoS)-Angriff auf jq und
möglicherweise beliebigen Programmcode auf dem System des Opfers ausführen.

Für openSUSE 13.2 und openSUSE Leap 42.1 stehen Sicherheitsupdates bereit.

Patch:

openSUSE Security Update openSUSE-SU-2016:1212-1

https://lists.opensuse.org/opensuse-updates/2016-05/msg00012.html

Patch:

openSUSE Security Update openSUSE-SU-2016:1214-1

https://lists.opensuse.org/opensuse-updates/2016-05/msg00014.html

Patch:

Red Hat Security Advisory RHSA-2016:1098

http://rhn.redhat.com/errata/RHSA-2016-1098.html

Patch:

Red Hat Security Advisory RHSA-2016:1099

http://rhn.redhat.com/errata/RHSA-2016-1099.html

CVE-2015-8863: Schwachstelle in jq ermöglicht Denial-of-Service-Angriff

In der Funktion ‘tokenadd()’ unterhalb von ‘check_literal’ in jq wird eine
Null (‘0’) an das Ende des aktiven Tokens gehängt, um die Umwandlung von
Dezimal in Binär und andersherum zu ermöglichen, ohne dass für das Zeichen
Platz im Puffer vorhanden ist.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2016-0708/

Schwachstelle CVE-2015-8863 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-8863

openSUSE Security Update openSUSE-SU-2016:1212-1:
https://lists.opensuse.org/opensuse-updates/2016-05/msg00012.html

openSUSE Security Update openSUSE-SU-2016:1214-1:
https://lists.opensuse.org/opensuse-updates/2016-05/msg00014.html

Red Hat Security Advisory RHSA-2016:1098:
http://rhn.redhat.com/errata/RHSA-2016-1098.html

Red Hat Security Advisory RHSA-2016:1099:
http://rhn.redhat.com/errata/RHSA-2016-1099.html

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.