Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 4 (05.09.2016):
Für openSUSE Leap 42.1 stehen Sicherheitsupdates für Xerces-C zur
Verfügung.
Version 3 (25.08.2016):
Für SUSE Linux Enterprise Software Development Kit 12 SP1, Server 12 SP1
und Desktop 12 SP1 stehen Sicherheitsupdates für Xerces-C zur Verfügung.
Die Schwachstelle CVE-2016-0729 wird nicht aufgelistet.
Version 2 (15.07.2016):
Für openSUSE 13.2 stehen Sicherheitsupdates für Xerces-C zur Verfügung.
Version 1 (01.07.2016):
Neues Advisory

Betroffene Software:

Apache Software Foundation Xerces-C <= 3.1.3 MinGW Betroffene Plattformen: SUSE Linux Enterprise Software Development Kit 12 SP1 openSUSE 13.2 openSUSE Leap 42.1 SUSE Linux Enterprise Desktop 12 SP1 SUSE Linux Enterprise Server 12 SP1 Red Hat Fedora 22 Red Hat Fedora 23 Red Hat Fedora 24 Ein entfernter, nicht authentifizierter Angreifer kann mehrere Schwachstellen in Xerces-C mit Hilfe speziell präparierter Eingangsdaten ausnutzen, um einen Denial-of-Service (DoS)-Zustand zu erzeugen oder möglicherweise beliebigen Programmcode auszuführen. Für Fedora 22, 23 und 24 stehen Sicherheitsupdates in Form der Pakete xerces-c-3.1.4-1 und mingw-xerces-c-3.1.4-1 im Status ' testing' zur Verfügung. Die Schwachstelle CVE-2016-0729 ist nur in den Updates des Pakets mingw-xerces-c referenziert. Patch: Fedora Security Update FEDORA-2016-0a061f6dd9 (Fedora 24, mingw-xerces-c-3.1.4-1.fc24) https://bodhi.fedoraproject.org/updates/FEDORA-2016-0a061f6dd9

Patch:

Fedora Security Update FEDORA-2016-7615febbd6 (Fedora 22,
mingw-xerces-c-3.1.4-1.fc22)

https://bodhi.fedoraproject.org/updates/FEDORA-2016-7615febbd6

Patch:

Fedora Security Update FEDORA-2016-84373c5f4f (Fedora 22,
xerces-c-3.1.4-1.fc22)

https://bodhi.fedoraproject.org/updates/FEDORA-2016-84373c5f4f

Patch:

Fedora Security Update FEDORA-2016-87e8468465 (Fedora 23,
mingw-xerces-c-3.1.4-1.fc23)

https://bodhi.fedoraproject.org/updates/FEDORA-2016-87e8468465

Patch:

Fedora Security Update FEDORA-2016-9284772686 (Fedora 24,
xerces-c-3.1.4-1.fc24)

https://bodhi.fedoraproject.org/updates/FEDORA-2016-9284772686

Patch:

Fedora Security Update FEDORA-2016-d2d6890690 (Fedora 23,
xerces-c-3.1.4-1.fc23)

https://bodhi.fedoraproject.org/updates/FEDORA-2016-d2d6890690

Patch:

openSUSE Security Update openSUSE-SU-2016:1808-1

http://lists.opensuse.org/opensuse-updates/2016-07/msg00053.html

Patch:

SUSE Security Update SUSE-SU-2016:2154-1

http://lists.suse.com/pipermail/sle-security-updates/2016-August/002228.html

Patch:

openSUSE Security Update openSUSE-SU-2016:2232-1

http://lists.opensuse.org/opensuse-updates/2016-09/msg00013.html

CVE-2016-4463: Schwachstelle in Xerces-C ermöglicht
Denial-of-Service-Angriff

Der XML-Parser von Xerces-C kann tief verschachtelte Dokumenttypdefinitionen
(DTDs) nicht richtig verarbeiten. Ein entfernter, nicht authentifizierter
Angreifer kann mit Hilfe speziell präparierter XML-Dateien einen
Pufferüberlauf auf dem Stack verursachen und dadurch einen
Denial-of-Service-Angriff (DoS) durchführen.

CVE-2016-2099: Schwachstelle in Xerces-C ermöglicht
Denial-of-Service-Angriff

Im DTD-Scanner in Xerces-C wird eine Ausnahme (Exception) falsch behandelt,
wenn beim vorausschauenden Zugriff auf das folgende Zeichen einer zu
verarbeitenden Zeichenkette (Peeking) durch die XMLReader-Klasse ein
ungültiges Zeichen erkannt wird. Der resultierende Ausnahmefehler kann auf
unsichere Weise an den Exception Handler einer höheren Ebene transferiert
werden, der dadurch auf bereits freigegebene Speicherbereiche zugreift
(Use-after-free). Ein entfernter, nicht authentifizierter Angreifer kann mit
Hilfe speziell präparierter XML-Daten einen Ausnahmefehler erzeugen, der in
der Folge zum Zugriff auf bereits freigegebene Speicherbereiche führt.
Dadurch können ein Denial-of-Service-Zustand ausgelöst und möglicherweise
weitere Angriffe durchgeführt werden.

CVE-2016-0729: Schwachstelle in Xerces-C ermöglicht
Denial-of-Service-Angriff

Der Extended-Markup-Language-Analysator (XML parser) Xerces-C behandelt
unter bestimmten Umständen fehlerhafte Eingangsdaten nicht korrekt. Ein
entfernter, nicht authentifizierter Angreifer kann mit Hilfe speziell
präparierter Eingangsdaten einen Pufferüberlauf während der Verarbeitung und
Fehlerbehandlung von XML-Daten im XML-Analysator Xerces-C erzeugen. Dies
kann zu einem Zugriffsfehler oder zu Speicherkorruption führen, wodurch der
Angreifer einen Denial-of-Service-Zustand erzeugen und eventuell beliebigen
Programmcode ausführen kann.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2016-1058/

Schwachstelle CVE-2016-0729 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-0729

Schwachstelle CVE-2016-2099 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-2099

Schwachstelle CVE-2016-4463 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-4463

Fedora Security Update FEDORA-2016-0a061f6dd9 (Fedora 24,
mingw-xerces-c-3.1.4-1.fc24):
https://bodhi.fedoraproject.org/updates/FEDORA-2016-0a061f6dd9

Fedora Security Update FEDORA-2016-7615febbd6 (Fedora 22,
mingw-xerces-c-3.1.4-1.fc22):
https://bodhi.fedoraproject.org/updates/FEDORA-2016-7615febbd6

Fedora Security Update FEDORA-2016-84373c5f4f (Fedora 22,
xerces-c-3.1.4-1.fc22):
https://bodhi.fedoraproject.org/updates/FEDORA-2016-84373c5f4f

Fedora Security Update FEDORA-2016-87e8468465 (Fedora 23,
mingw-xerces-c-3.1.4-1.fc23):
https://bodhi.fedoraproject.org/updates/FEDORA-2016-87e8468465

Fedora Security Update FEDORA-2016-9284772686 (Fedora 24,
xerces-c-3.1.4-1.fc24):
https://bodhi.fedoraproject.org/updates/FEDORA-2016-9284772686

Fedora Security Update FEDORA-2016-d2d6890690 (Fedora 23,
xerces-c-3.1.4-1.fc23):
https://bodhi.fedoraproject.org/updates/FEDORA-2016-d2d6890690

openSUSE Security Update openSUSE-SU-2016:1808-1:
http://lists.opensuse.org/opensuse-updates/2016-07/msg00053.html

SUSE Security Update SUSE-SU-2016:2154-1:
http://lists.suse.com/pipermail/sle-security-updates/2016-August/002228.html

openSUSE Security Update openSUSE-SU-2016:2232-1:
http://lists.opensuse.org/opensuse-updates/2016-09/msg00013.html

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 3 (25.08.2016):
Für SUSE Linux Enterprise Software Development Kit 12 SP1, Server 12 SP1
und Desktop 12 SP1 stehen Sicherheitsupdates für Xerces-C zur Verfügung.
Die Schwachstelle CVE-2016-0729 wird nicht aufgelistet.
Version 2 (15.07.2016):
Für openSUSE 13.2 stehen Sicherheitsupdates für Xerces-C zur Verfügung.
Version 1 (01.07.2016):
Neues Advisory

Betroffene Software:

Apache Software Foundation Xerces-C <= 3.1.3 MinGW Betroffene Plattformen: SUSE Linux Enterprise Software Development Kit 12 SP1 openSUSE 13.2 SUSE Linux Enterprise Desktop 12 SP1 SUSE Linux Enterprise Server 12 SP1 Red Hat Fedora 22 Red Hat Fedora 23 Red Hat Fedora 24 Ein entfernter, nicht authentifizierter Angreifer kann mehrere Schwachstellen in Xerces-C mit Hilfe speziell präparierter Eingangsdaten ausnutzen, um einen Denial-of-Service (DoS)-Zustand zu erzeugen oder möglicherweise beliebigen Programmcode auszuführen. Für Fedora 22, 23 und 24 stehen Sicherheitsupdates in Form der Pakete xerces-c-3.1.4-1 und mingw-xerces-c-3.1.4-1 im Status ' testing' zur Verfügung. Die Schwachstelle CVE-2016-0729 ist nur in den Updates des Pakets mingw-xerces-c referenziert. Patch: Fedora Security Update FEDORA-2016-0a061f6dd9 (Fedora 24, mingw-xerces-c-3.1.4-1.fc24) https://bodhi.fedoraproject.org/updates/FEDORA-2016-0a061f6dd9

Patch:

Fedora Security Update FEDORA-2016-7615febbd6 (Fedora 22,
mingw-xerces-c-3.1.4-1.fc22)

https://bodhi.fedoraproject.org/updates/FEDORA-2016-7615febbd6

Patch:

Fedora Security Update FEDORA-2016-84373c5f4f (Fedora 22,
xerces-c-3.1.4-1.fc22)

https://bodhi.fedoraproject.org/updates/FEDORA-2016-84373c5f4f

Patch:

Fedora Security Update FEDORA-2016-87e8468465 (Fedora 23,
mingw-xerces-c-3.1.4-1.fc23)

https://bodhi.fedoraproject.org/updates/FEDORA-2016-87e8468465

Patch:

Fedora Security Update FEDORA-2016-9284772686 (Fedora 24,
xerces-c-3.1.4-1.fc24)

https://bodhi.fedoraproject.org/updates/FEDORA-2016-9284772686

Patch:

Fedora Security Update FEDORA-2016-d2d6890690 (Fedora 23,
xerces-c-3.1.4-1.fc23)

https://bodhi.fedoraproject.org/updates/FEDORA-2016-d2d6890690

Patch:

openSUSE Security Update openSUSE-SU-2016:1808-1

http://lists.opensuse.org/opensuse-updates/2016-07/msg00053.html

Patch:

SUSE Security Update SUSE-SU-2016:2154-1

http://lists.suse.com/pipermail/sle-security-updates/2016-August/002228.html

CVE-2016-4463: Schwachstelle in Xerces-C ermöglicht
Denial-of-Service-Angriff

Der XML-Parser von Xerces-C kann tief verschachtelte Dokumenttypdefinitionen
(DTDs) nicht richtig verarbeiten. Ein entfernter, nicht authentifizierter
Angreifer kann mit Hilfe speziell präparierter XML-Dateien einen
Pufferüberlauf auf dem Stack verursachen und dadurch einen
Denial-of-Service-Angriff (DoS) durchführen.

CVE-2016-2099: Schwachstelle in Xerces-C ermöglicht
Denial-of-Service-Angriff

Im DTD-Scanner in Xerces-C wird eine Ausnahme (Exception) falsch behandelt,
wenn beim vorausschauenden Zugriff auf das folgende Zeichen einer zu
verarbeitenden Zeichenkette (Peeking) durch die XMLReader-Klasse ein
ungültiges Zeichen erkannt wird. Der resultierende Ausnahmefehler kann auf
unsichere Weise an den Exception Handler einer höheren Ebene transferiert
werden, der dadurch auf bereits freigegebene Speicherbereiche zugreift
(Use-after-free). Ein entfernter, nicht authentifizierter Angreifer kann mit
Hilfe speziell präparierter XML-Daten einen Ausnahmefehler erzeugen, der in
der Folge zum Zugriff auf bereits freigegebene Speicherbereiche führt.
Dadurch können ein Denial-of-Service-Zustand ausgelöst und möglicherweise
weitere Angriffe durchgeführt werden.

CVE-2016-0729: Schwachstelle in Xerces-C ermöglicht
Denial-of-Service-Angriff

Der Extended-Markup-Language-Analysator (XML parser) Xerces-C behandelt
unter bestimmten Umständen fehlerhafte Eingangsdaten nicht korrekt. Ein
entfernter, nicht authentifizierter Angreifer kann mit Hilfe speziell
präparierter Eingangsdaten einen Pufferüberlauf während der Verarbeitung und
Fehlerbehandlung von XML-Daten im XML-Analysator Xerces-C erzeugen. Dies
kann zu einem Zugriffsfehler oder zu Speicherkorruption führen, wodurch der
Angreifer einen Denial-of-Service-Zustand erzeugen und eventuell beliebigen
Programmcode ausführen kann.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2016-1058/

Schwachstelle CVE-2016-0729 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-0729

Schwachstelle CVE-2016-2099 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-2099

Schwachstelle CVE-2016-4463 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-4463

Fedora Security Update FEDORA-2016-0a061f6dd9 (Fedora 24,
mingw-xerces-c-3.1.4-1.fc24):
https://bodhi.fedoraproject.org/updates/FEDORA-2016-0a061f6dd9

Fedora Security Update FEDORA-2016-7615febbd6 (Fedora 22,
mingw-xerces-c-3.1.4-1.fc22):
https://bodhi.fedoraproject.org/updates/FEDORA-2016-7615febbd6

Fedora Security Update FEDORA-2016-84373c5f4f (Fedora 22,
xerces-c-3.1.4-1.fc22):
https://bodhi.fedoraproject.org/updates/FEDORA-2016-84373c5f4f

Fedora Security Update FEDORA-2016-87e8468465 (Fedora 23,
mingw-xerces-c-3.1.4-1.fc23):
https://bodhi.fedoraproject.org/updates/FEDORA-2016-87e8468465

Fedora Security Update FEDORA-2016-9284772686 (Fedora 24,
xerces-c-3.1.4-1.fc24):
https://bodhi.fedoraproject.org/updates/FEDORA-2016-9284772686

Fedora Security Update FEDORA-2016-d2d6890690 (Fedora 23,
xerces-c-3.1.4-1.fc23):
https://bodhi.fedoraproject.org/updates/FEDORA-2016-d2d6890690

openSUSE Security Update openSUSE-SU-2016:1808-1:
http://lists.opensuse.org/opensuse-updates/2016-07/msg00053.html

SUSE Security Update SUSE-SU-2016:2154-1:
http://lists.suse.com/pipermail/sle-security-updates/2016-August/002228.html

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 2 (15.07.2016):
Für openSUSE 13.2 stehen Sicherheitsupdates für Xerces-C zur Verfügung.
Version 1 (01.07.2016):
Neues Advisory

Betroffene Software:

Apache Software Foundation Xerces-C <= 3.1.3 MinGW Betroffene Plattformen: openSUSE 13.2 Red Hat Fedora 22 Red Hat Fedora 23 Red Hat Fedora 24 Ein entfernter, nicht authentifizierter Angreifer kann mehrere Schwachstellen in Xerces-C mit Hilfe speziell präparierter Eingangsdaten ausnutzen, um einen Denial-of-Service (DoS)-Zustand zu erzeugen oder möglicherweise beliebigen Programmcode auszuführen. Für Fedora 22, 23 und 24 stehen Sicherheitsupdates in Form der Pakete xerces-c-3.1.4-1 und mingw-xerces-c-3.1.4-1 im Status ' testing' zur Verfügung. Die Schwachstelle CVE-2016-0729 ist nur in den Updates des Pakets mingw-xerces-c referenziert. Patch: Fedora Security Update FEDORA-2016-0a061f6dd9 (Fedora 24, mingw-xerces-c-3.1.4-1.fc24) https://bodhi.fedoraproject.org/updates/FEDORA-2016-0a061f6dd9

Patch:

Fedora Security Update FEDORA-2016-7615febbd6 (Fedora 22,
mingw-xerces-c-3.1.4-1.fc22)

https://bodhi.fedoraproject.org/updates/FEDORA-2016-7615febbd6

Patch:

Fedora Security Update FEDORA-2016-84373c5f4f (Fedora 22,
xerces-c-3.1.4-1.fc22)

https://bodhi.fedoraproject.org/updates/FEDORA-2016-84373c5f4f

Patch:

Fedora Security Update FEDORA-2016-87e8468465 (Fedora 23,
mingw-xerces-c-3.1.4-1.fc23)

https://bodhi.fedoraproject.org/updates/FEDORA-2016-87e8468465

Patch:

Fedora Security Update FEDORA-2016-9284772686 (Fedora 24,
xerces-c-3.1.4-1.fc24)

https://bodhi.fedoraproject.org/updates/FEDORA-2016-9284772686

Patch:

Fedora Security Update FEDORA-2016-d2d6890690 (Fedora 23,
xerces-c-3.1.4-1.fc23)

https://bodhi.fedoraproject.org/updates/FEDORA-2016-d2d6890690

Patch:

openSUSE Security Update openSUSE-SU-2016:1808-1

http://lists.opensuse.org/opensuse-updates/2016-07/msg00053.html

CVE-2016-4463: Schwachstelle in Xerces-C ermöglicht
Denial-of-Service-Angriff

Der XML-Parser von Xerces-C kann tief verschachtelte Dokumenttypdefinitionen
(DTDs) nicht richtig verarbeiten. Ein entfernter, nicht authentifizierter
Angreifer kann mit Hilfe speziell präparierter XML-Dateien einen
Pufferüberlauf auf dem Stack verursachen und dadurch einen
Denial-of-Service-Angriff (DoS) durchführen.

CVE-2016-2099: Schwachstelle in Xerces-C ermöglicht
Denial-of-Service-Angriff

Im DTD-Scanner in Xerces-C wird eine Ausnahme (Exception) falsch behandelt,
wenn beim vorausschauenden Zugriff auf das folgende Zeichen einer zu
verarbeitenden Zeichenkette (Peeking) durch die XMLReader-Klasse ein
ungültiges Zeichen erkannt wird. Der resultierende Ausnahmefehler kann auf
unsichere Weise an den Exception Handler einer höheren Ebene transferiert
werden, der dadurch auf bereits freigegebene Speicherbereiche zugreift
(Use-after-free). Ein entfernter, nicht authentifizierter Angreifer kann mit
Hilfe speziell präparierter XML-Daten einen Ausnahmefehler erzeugen, der in
der Folge zum Zugriff auf bereits freigegebene Speicherbereiche führt.
Dadurch können ein Denial-of-Service-Zustand ausgelöst und möglicherweise
weitere Angriffe durchgeführt werden.

CVE-2016-0729: Schwachstelle in Xerces-C ermöglicht
Denial-of-Service-Angriff

Der Extended-Markup-Language-Analysator (XML parser) Xerces-C behandelt
unter bestimmten Umständen fehlerhafte Eingangsdaten nicht korrekt. Ein
entfernter, nicht authentifizierter Angreifer kann mit Hilfe speziell
präparierter Eingangsdaten einen Pufferüberlauf während der Verarbeitung und
Fehlerbehandlung von XML-Daten im XML-Analysator Xerces-C erzeugen. Dies
kann zu einem Zugriffsfehler oder zu Speicherkorruption führen, wodurch der
Angreifer einen Denial-of-Service-Zustand erzeugen und eventuell beliebigen
Programmcode ausführen kann.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2016-1058/

Schwachstelle CVE-2016-0729 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-0729

Schwachstelle CVE-2016-2099 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-2099

Schwachstelle CVE-2016-4463 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-4463

Fedora Security Update FEDORA-2016-0a061f6dd9 (Fedora 24,
mingw-xerces-c-3.1.4-1.fc24):
https://bodhi.fedoraproject.org/updates/FEDORA-2016-0a061f6dd9

Fedora Security Update FEDORA-2016-7615febbd6 (Fedora 22,
mingw-xerces-c-3.1.4-1.fc22):
https://bodhi.fedoraproject.org/updates/FEDORA-2016-7615febbd6

Fedora Security Update FEDORA-2016-84373c5f4f (Fedora 22,
xerces-c-3.1.4-1.fc22):
https://bodhi.fedoraproject.org/updates/FEDORA-2016-84373c5f4f

Fedora Security Update FEDORA-2016-87e8468465 (Fedora 23,
mingw-xerces-c-3.1.4-1.fc23):
https://bodhi.fedoraproject.org/updates/FEDORA-2016-87e8468465

Fedora Security Update FEDORA-2016-9284772686 (Fedora 24,
xerces-c-3.1.4-1.fc24):
https://bodhi.fedoraproject.org/updates/FEDORA-2016-9284772686

Fedora Security Update FEDORA-2016-d2d6890690 (Fedora 23,
xerces-c-3.1.4-1.fc23):
https://bodhi.fedoraproject.org/updates/FEDORA-2016-d2d6890690

openSUSE Security Update openSUSE-SU-2016:1808-1:
http://lists.opensuse.org/opensuse-updates/2016-07/msg00053.html

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.