UPDATE: DFN-CERT-2017-0428 R: Eine Schwachstelle ermöglicht die Ausführung beliebigen Programmcodes [Linux][Debian][Fedora]

UPDATE: DFN-CERT-2017-0428 R: Eine Schwachstelle ermöglicht die Ausführung beliebigen Programmcodes [Linux][Debian][Fedora]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 2 (20.03.2017):
Debian stellt für die stabile Distribution Debian Jessie ein
Backport-Sicherheitsupdate und für die nächste stabile Distribution Debian
Stretch ein Sicherheitsudpate auf Version 3.3.3 für das Paket ‘r-base’
bereit.
Version 1 (13.03.2017):
Neues Advisory

Betroffene Software:

R < 3.3.3 Betroffene Plattformen: Debian Linux 8.7 Jessie Debian Linux 9.0 Stretch Red Hat Fedora 24 Red Hat Fedora 25 Red Hat Fedora 26 Extra Packages for Red Hat Enterprise Linux 5 Extra Packages for Red Hat Enterprise Linux 6 Extra Packages for Red Hat Enterprise Linux 7 Ein entfernter, nicht authentisierter Angreifer kann mit Hilfe eines speziell präparierten R-Skripts, das von einem Benutzer der Software lokal ausgeführt wird, im Verlauf der Erstellung eines PDF-Dokuments den CNAME-Puffer zum Überlauf bringen und dies im weiteren Programmverlauf zur Ausführung beliebigen Programmcodes ausnutzen. Der Hersteller stellt R 3.3.3 zur Behebung der Schwachstelle zur Verfügung. Für Fedora 24, 25 und 26 sowie Fedora EPEL 5, 6 und 7 stehen Sicherheitsupdates auf diese Version im Status 'testing' bereit. Patch: Fedora Security Update FEDORA-2017-07c8f3ea2b (Fedora 26, R-3.3.3-1.fc26) https://bodhi.fedoraproject.org/updates/FEDORA-2017-07c8f3ea2b

Patch:

Fedora Security Update FEDORA-2017-ae18216e75 (Fedora 25, R-3.3.3-1.fc25)

https://bodhi.fedoraproject.org/updates/FEDORA-2017-ae18216e75

Patch:

Fedora Security Update FEDORA-2017-da9d0f0dc0 (Fedora 24, R-3.3.3-1.fc24)

https://bodhi.fedoraproject.org/updates/FEDORA-2017-da9d0f0dc0

Patch:

Fedora Security Update FEDORA-EPEL-2017-0e124edd46 (Fedora EPEL 5,
R-3.3.3-1.el5)

https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2017-0e124edd46

Patch:

Fedora Security Update FEDORA-EPEL-2017-1ad70123a8 (Fedora EPEL 6,
R-3.3.3-1.el6)

https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2017-1ad70123a8

Patch:

Fedora Security Update FEDORA-EPEL-2017-6950a0884d (Fedora EPEL 7,
R-3.3.3-1.el7)

https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2017-6950a0884d

Patch:

R 3.3.3 Relase Notes

https://cran.r-project.org/doc/manuals/r-release/NEWS.html

Patch:

Debian Security Advisory DSA-3813-1

https://www.debian.org/security/2017/dsa-3813

CVE-2016-8714: Schwachstelle in R ermöglicht Ausführung beliebigen
Programmcodes

In der ‘LoadEncoding’-Funktionalität der Programmiersprache R, die für
statistische Auswertungen verwendet wird, existiert eine Schwachstelle, die
ausgenutzt werden kann, um einen Pufferüberlauf (Buffer Overflow) zu
bewirken, infolgedessen der Speicher der Anwendung korrumpiert wird.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-0428/

Schwachstelle CVE-2016-8714 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-8714

Fedora Security Update FEDORA-2017-07c8f3ea2b (Fedora 26, R-3.3.3-1.fc26):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-07c8f3ea2b

Fedora Security Update FEDORA-2017-ae18216e75 (Fedora 25, R-3.3.3-1.fc25):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-ae18216e75

Fedora Security Update FEDORA-2017-da9d0f0dc0 (Fedora 24, R-3.3.3-1.fc24):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-da9d0f0dc0

Fedora Security Update FEDORA-EPEL-2017-0e124edd46 (Fedora EPEL 5,
R-3.3.3-1.el5):
https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2017-0e124edd46

Fedora Security Update FEDORA-EPEL-2017-1ad70123a8 (Fedora EPEL 6,
R-3.3.3-1.el6):
https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2017-1ad70123a8

Fedora Security Update FEDORA-EPEL-2017-6950a0884d (Fedora EPEL 7,
R-3.3.3-1.el7):
https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2017-6950a0884d

R 3.3.3 Relase Notes:
https://cran.r-project.org/doc/manuals/r-release/NEWS.html

Talos Vulnerability Report TALOS-2016-0227: R PDF LoadEncoding Code Execution
Vulnerability:
http://www.talosintelligence.com/reports/TALOS-2016-0227/

Debian Security Advisory DSA-3813-1:
https://www.debian.org/security/2017/dsa-3813

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben