UPDATE: DFN-CERT-2017-0083 libxml2: Eine Schwachstelle ermöglicht das Ausführen beliebigen Programmcodes [Linux][SuSE]

UPDATE: DFN-CERT-2017-0083 libxml2: Eine Schwachstelle ermöglicht das Ausführen beliebigen Programmcodes [Linux][SuSE]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 2 (14.06.2017):
SUSE informiert anlässlich Sicherheitsupdate SUSE-SU-2017:1557-1 darüber,
dass die zunächst behobene Schwachstelle CVE-2016-9318 mit den neuen
Sicherheitsupdates absichtlich nicht behoben wird, da es zu Problemen mit
bestehenden Setups kommen könnte. Stattdessen sollen Anwender beim Parsen
nicht vertrauenswürdiger XML-Dateien geeignete Maßnahmen ergreifen und das
neue Flag ‘-noxxe’ wenn möglich verwenden.
Version 1 (17.01.2017):
Neues Advisory

Betroffene Software:

LibXML2

Betroffene Plattformen:

SUSE Linux Enterprise Debuginfo 11 SP4
SUSE Linux Enterprise Software Development Kit 11 SP4
SUSE Linux Enterprise Server 11 SP4

Ein entfernter, nicht authentisierter Angreifer kann diese Schwachstelle
ausnutzen, um einen XML External Entity (XXE)-Angriff durchzuführen und
dadurch möglicherweise beliebigen Programmcode zur Ausführung bringen.

Für die SUSE Linux Enterprise Produkte Software Development Kit, Server und
Debuginfo in der Version 11 SP4 stehen Backport-Sicherheitsupdates zur
Verfügung, um die Schwachstelle zu beheben und zusätzlich eine mögliche
NULL-Zeiger-Dereferenzierung in ‘xpointer.c’ und ‘xmlDumpElementContent’
sowie eine unbegrenzte Rekursion in ‘xmlParseConditionalSections’ im
Wiederherstellungsmodus zu verhindern.

Patch:

SUSE Security Update SUSE-SU-2017:0164-1

http://lists.suse.com/pipermail/sle-security-updates/2017-January/002563.html

Patch:

SUSE Security Update SUSE-SU-2017:1557-1

http://lists.suse.com/pipermail/sle-security-updates/2017-June/002940.html

CVE-2016-9318: Schwachstelle in libxml2 ermöglicht Ausführen beliebigen
Programmcodes

libxml2 bis einschließlich Version 2.9.4, wie verwendet in XMLSec bis
einschließlich 1.2.23 und anderen Produkten, bietet kein Flag, welches
kennzeichnen würde, dass das aktuelle Dokument durch andere Dateien nur
gelesen, aber nicht geöffnet werden darf, wodurch Angreifer leichter XML
External Entity (XXE)-Angriffe mit Hilfe eines präparierten Dokumentes
durchführen können.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-0083/

Schwachstelle CVE-2016-9318 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-9318

SUSE Security Update SUSE-SU-2017:0164-1:
http://lists.suse.com/pipermail/sle-security-updates/2017-January/002563.html

SUSE Security Update SUSE-SU-2017:1557-1:
http://lists.suse.com/pipermail/sle-security-updates/2017-June/002940.html

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben