UPDATE: DFN-CERT-2016-1500 libcurl: Eine Schwachstelle ermöglicht einen Denial-of-Service-Angriff [Linux][Fedora][RedHat][Netzwerk]

UPDATE: DFN-CERT-2016-1500 libcurl: Eine Schwachstelle ermöglicht einen Denial-of-Service-Angriff [Linux][Fedora][RedHat][Netzwerk]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 4 (12.01.2018):
IBM informiert darüber, dass IBM Security Access Manager Appliances mit
IBM Security Access Manager 9.0.3.0 von der Schwachstelle in den
cURL-Bibliotheken betroffen sind und stellt IBM Security Access Manager
9.0.3.1 als Sicherheitsupdate zur Verfügung (APAR IJ02896).
Version 3 (08.08.2017):
Für Oracle Linux 7 (x86_64) steht zur Behebung der Schwachstelle ein
Backport-Sicherheitsupdate für ‘curl’ bereit.
Version 2 (02.08.2017):
Red Hat stellt für verschiedene Red Hat Enterprise Linux 7 Releases aus
den Bereichen Client, ComputeNode, Server und Workstation
Sicherheitsupdates für ‘curl’ bereit, um die Schwachstelle zu beheben. Die
Sicherheitsupdates wurden im Rahmen des Releases von Red Hat Enterprise
Linux 7.4 veröffentlicht.
Version 1 (15.09.2016):
Neues Advisory

Betroffene Software:

libcurl >= 7.11.1
libcurl <= 7.50.2 IBM Security Access Manager 9.0.3.0 IBM Security Access Manager < 9.0.3.1 Betroffene Plattformen: IBM Security Access Manager Appliance Oracle Linux 7 Red Hat Enterprise Linux for Scientific Computing 7 Red Hat Enterprise Linux Desktop 7 Red Hat Enterprise Linux Server 7 Red Hat Enterprise Linux Server for ARM 7 Red Hat Enterprise Linux Workstation 7 Red Hat Fedora 23 Red Hat Fedora 24 Red Hat Fedora 25 Ein entfernter, nicht authentifizierter Angreifer kann einen Denial-of-Service (DoS)-Angriff durchführen, indem er einen der Werte '2^32-1', 'UINT_MAX' oder '-1' als Eingangsparameter für die Länge der Eingangsdaten in verschiedenen Funktionen von libcurl verwendet. Der Hersteller haxx stellt die Version 7.50.3 für cURL und libcurl zur Behebung der Schwachstelle bereit und weist darauf hin, dass libcurl in verschiedenen Anwendungen verwendet wird, die nicht auf die Verknüpfung mit libcurl hinweisen. Das Kommandozeilenwerkzeug cURL selbst ist von der Schwachstelle nicht betroffen. Für Fedora 25 steht ein Sicherheitsupdate für curl auf Version 7.50.3 im Status 'testing' bereit. Für Fedora 23 und 24 stehen Backport-Sicherheitsupdates im Status 'testing' bereit, um die Schwachstelle zu beheben. Patch: Fedora Security Update FEDORA-2016-08533fc59c (Fedora 25, curl-7.50.3-1) https://bodhi.fedoraproject.org/updates/FEDORA-2016-08533fc59c

Patch:

Fedora Security Update FEDORA-2016-7a2ed52d41 (Fedora 24, curl-7.47.1-8)

https://bodhi.fedoraproject.org/updates/FEDORA-2016-7a2ed52d41

Patch:

Fedora Security Update FEDORA-2016-80f4f71eff (Fedora 23, curl-7.43.0-10)

https://bodhi.fedoraproject.org/updates/FEDORA-2016-80f4f71eff

Patch:

Project cURL Security Advisory, September 14, 2016

https://curl.haxx.se/docs/adv_20160914.html

Patch:

Red Hat Security Advisory RHSA-2017:2016

https://access.redhat.com/errata/RHSA-2017:2016

Patch:

Oracle Linux Security Advisory ELSA-2017-2016

https://linux.oracle.com/errata/ELSA-2017-2016.html

Patch:

IBM Security Bulletin 2012358

http://www.ibm.com/support/docview.wss?uid=swg22012358

CVE-2016-7167: Schwachstelle in libcurl ermöglicht Denial-of-Service-Angriff

Die Funktionen ‘curl_escape’, ‘curl_easy_escape’, ‘curl_unescape’ und
‘curl_easy_unescape’ in libcurl sorgen dafür, dass die
Prozentzeichennotation in als Eingangsparameter zur Verfügung gestellten
URLs maskiert beziehungsweise demaskiert (escaped, unescaped) wird. Als
zusätzlicher Eingangsparameter wird die Länge der URL als
vorzeichenbehafteter Ganzzahlwert akzeptiert. Dieser Wert wird nicht
ausreichend geprüft und führt zur Allozierung von null Bytes im
Heap-Speicher, wenn die Werte ‘2^32-1’, ‘UINT_MAX’ oder ‘-1’ verwendet
werden. cURL versucht anschließend in diese null Bytes Speicher vier
Gigabyte an Daten zu schreiben, wodurch es zu einem Denial-of-Service
(DoS)-Zustand kommt.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2016-1500/

Fedora Security Update FEDORA-2016-08533fc59c (Fedora 25, curl-7.50.3-1):
https://bodhi.fedoraproject.org/updates/FEDORA-2016-08533fc59c

Fedora Security Update FEDORA-2016-7a2ed52d41 (Fedora 24, curl-7.47.1-8):
https://bodhi.fedoraproject.org/updates/FEDORA-2016-7a2ed52d41

Fedora Security Update FEDORA-2016-80f4f71eff (Fedora 23, curl-7.43.0-10):
https://bodhi.fedoraproject.org/updates/FEDORA-2016-80f4f71eff

Project cURL Security Advisory, September 14, 2016:
https://curl.haxx.se/docs/adv_20160914.html

Schwachstelle CVE-2016-7167 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-7167

Red Hat Security Advisory RHSA-2017:2016:
https://access.redhat.com/errata/RHSA-2017:2016

Oracle Linux Security Advisory ELSA-2017-2016:
https://linux.oracle.com/errata/ELSA-2017-2016.html

IBM Security Bulletin 2012358:
http://www.ibm.com/support/docview.wss?uid=swg22012358

IBM PSIRT Blog: IBM Security Access Manager Appliance is affected by a cURL
vulnerability (CVE-2016-7167):
https://www.ibm.com/blogs/psirt/ibm-security-bulletin-ibm-security-access-manager-appliance-is-affected-by-a-curl-vulnerability-cve-2016-7167/

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben