Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 5 (21.12.2017):
SUSE stellt für SUSE Manager Server 3.0 und 3.1 Sicherheitsupdates zur
Behebung der Schwachstelle zur Verfügung.
Version 4 (13.10.2017):
IBM veröffentlicht weitere Informationen zur Betroffenheit von IBM Notes
durch Schwachstellen in der Open Source Bibliothek XStream, referenziert
dabei aber explizit weiterhin nur CVE-2017-7957. Für IBM Notes MAC 64 wird
nun zusätzlich die Version 901 MAC 64 IF12 als Sicherheitsupdate benannt.
Version 3 (04.10.2017):
Die Schwachstelle in XStream betrifft auch IBM Notes in den Versionen 9.0,
9.0.1 bis Version 9.0.1 Feature Pack 8, 8.5, 8.5.1, 8.5.2 und 8.5.3 bis
Version 8.5.3 Fix Pack 6 Interim Fix 14. Ein Patch zur Behebung der
XStream-Schwachstelle ist ab der Version 9.0.1 Feature Pack 9 und 8.5.3
Fix Pack 6 Interim Fix 15 in IBM Notes implementiert.
Version 2 (03.05.2017):
Die Schwachstelle hat mittlerweile den Bezeichner CVE-2017-7957 erhalten.
Debian stellt für die stabile Distribution Debian Jessie ein
Backport-Sicherheitsupdate bereit und kündigt an, dass die Schwachstelle
in der nächsten stabilen Distribution Debian Stretch bald behoben wird.
Version 1 (13.04.2017):
Neues Advisory

Betroffene Software:

IBM Notes 8.5
IBM Notes 8.5.1
IBM Notes 8.5.2
IBM Notes 8.5.3
IBM Notes < 8.5.3 Fix Pack 6 Interim Fix 15 IBM Notes 9.0 IBM Notes 9.0.1 IBM Notes < 9.0.1.9 XStream Betroffene Plattformen: SUSE Manager Server 3.0 SUSE Manager Server 3.1 Apple Mac OS X Debian Linux 8.7 Jessie Debian Linux 9.0 Stretch GNU/Linux Microsoft Windows Red Hat Fedora 24 Red Hat Fedora 25 Red Hat Fedora 26 Ein entfernter, nicht authentisierter Angreifer kann die Schwachstelle ausnutzen, um einen Denial-of-Service-Angriff gegen XStream durchzuführen. Für Fedora 24, 25 und 26 stehen Sicherheitsupdates in Form von 'xstream-1.4.9-5'- und 'jenkins-xstream-1.4.7-11.jenkins1'-Paketen im Status 'testing' bereit. Patch: Fedora Security Update FEDORA-2017-4b71343fb8 (Fedora 26, jenkins-xstream-1.4.7-11.jenkins1.fc26) https://bodhi.fedoraproject.org/updates/FEDORA-2017-4b71343fb8

Patch:

Fedora Security Update FEDORA-2017-5764721de5 (Fedora 24,
xstream-1.4.9-5.fc24)

https://bodhi.fedoraproject.org/updates/FEDORA-2017-5764721de5

Patch:

Fedora Security Update FEDORA-2017-8d74747fc4 (Fedora 26,
xstream-1.4.9-5.fc26)

https://bodhi.fedoraproject.org/updates/FEDORA-2017-8d74747fc4

Patch:

Fedora Security Update FEDORA-2017-a902f8db61 (Fedora 25,
jenkins-xstream-1.4.7-11.jenkins1.fc25)

https://bodhi.fedoraproject.org/updates/FEDORA-2017-a902f8db61

Patch:

Fedora Security Update FEDORA-2017-b83c0eeab0 (Fedora 25,
xstream-1.4.9-5.fc25)

https://bodhi.fedoraproject.org/updates/FEDORA-2017-b83c0eeab0

Patch:

Fedora Security Update FEDORA-2017-db6864b797 (Fedora 24,
jenkins-xstream-1.4.7-11.jenkins1.fc24)

https://bodhi.fedoraproject.org/updates/FEDORA-2017-db6864b797

Patch:

Debian Security Advisory DSA-3841-1

https://www.debian.org/security/2017/dsa-3841

Patch:

IBM Security Bulletin 2005235

http://www-01.ibm.com/support/docview.wss?uid=swg22005235

Patch:

IBM Security Bulletin 2004066

http://www.ibm.com/support/docview.wss?uid=swg22004066

Patch:

SUSE Security Update SUSE-SU-2017:3389-1

http://lists.suse.com/pipermail/sle-security-updates/2017-December/003545.html

Patch:

SUSE Security Update SUSE-SU-2017:3390-1

http://lists.suse.com/pipermail/sle-security-updates/2017-December/003546.html

CVE-2017-7957: Schwachstelle in XStream ermöglicht Denial-of-Service-Angriff

In XStream existiert eine Schwachstelle, durch die es bei der Bearbeitung
von Instanzen des primitiven Typs ‘Void’ (nicht spezifizierten Datentypen)
zu einem Denial-of-Service (DoS)-Zustand kommen kann.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-0647/

Fedora Security Update FEDORA-2017-4b71343fb8 (Fedora 26,
jenkins-xstream-1.4.7-11.jenkins1.fc26):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-4b71343fb8

Fedora Security Update FEDORA-2017-5764721de5 (Fedora 24,
xstream-1.4.9-5.fc24):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-5764721de5

Fedora Security Update FEDORA-2017-8d74747fc4 (Fedora 26,
xstream-1.4.9-5.fc26):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-8d74747fc4

Fedora Security Update FEDORA-2017-a902f8db61 (Fedora 25,
jenkins-xstream-1.4.7-11.jenkins1.fc25):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-a902f8db61

Fedora Security Update FEDORA-2017-b83c0eeab0 (Fedora 25,
xstream-1.4.9-5.fc25):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-b83c0eeab0

Fedora Security Update FEDORA-2017-db6864b797 (Fedora 24,
jenkins-xstream-1.4.7-11.jenkins1.fc24):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-db6864b797

Debian Security Advisory DSA-3841-1:
https://www.debian.org/security/2017/dsa-3841

IBM Security Bulletin 2005235:
http://www-01.ibm.com/support/docview.wss?uid=swg22005235

IBM Security Bulletin: Fix Available for a Denial of Service Vulnerability in
IBM Notes (CVE-2017-7957):
https://www.ibm.com/blogs/psirt/ibm-security-bulletin-fix-available-for-a-denial-of-service-vulnerability-in-ibm-notes-cve-2017-7957/

IBM Security Bulletin 2004066:
http://www.ibm.com/support/docview.wss?uid=swg22004066

IBM PSIRT Blog: IBM Notes is affected by Open Source XStream Vulnerabilities:
https://www.ibm.com/blogs/psirt/ibm-security-bulletin-ibm-notes-is-affected-by-open-source-xstream-vulnerabilities/

SUSE Security Update SUSE-SU-2017:3389-1:
http://lists.suse.com/pipermail/sle-security-updates/2017-December/003545.html

SUSE Security Update SUSE-SU-2017:3390-1:
http://lists.suse.com/pipermail/sle-security-updates/2017-December/003546.html

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.