UPDATE: DFN-CERT-2017-0907 MiniUPnP: Eine Schwachstelle ermöglicht einen Denial-of-Service-Angriff und die Ausführung beliebigen Programmcodes [Linux]

UPDATE: DFN-CERT-2017-0907 MiniUPnP: Eine Schwachstelle ermöglicht einen Denial-of-Service-Angriff und die Ausführung beliebigen Programmcodes [Linux]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 2 (26.05.2017):
Canonical stellt nun auch für Ubuntu Linux Ubuntu 17.04 ein
Backport-Sicherheitsupdate für ‘miniupnpc’ bereit.
Version 1 (24.05.2017):
Neues Advisory

Betroffene Software:

MiniUPnP < 2.0.20170509 Betroffene Plattformen: Canonical Ubuntu Linux 14.04 LTS Canonical Ubuntu Linux 16.04 LTS Canonical Ubuntu Linux 16.10 Canonical Ubuntu Linux 17.04 Ein entfernter, nicht authentisierter Angreifer kann eine Schwachstelle in MiniUPnP ausnutzen, um eine mit der Bibliothek verknüpfte Anwendung zum Absturz zu bringen (Denial-of-Service, DoS) und möglicherweise beliebigen Programmcode mit den Rechten des Benutzers, der eine solche Anwendung verwendet, auszuführen. Der Hersteller veröffentlicht die Version 2.0.20170509 der Software als Sicherheitsupdate zur Behebung der Schwachstelle. Canonical stellt für Ubuntu Linux 14.04 LTS, 16.04 LTS und 16.10 Backport-Sicherheitsupdates für 'miniupnpc' bereit. Patch: MiniUPnP 2.0.20170509 Release Notes https://miniupnp.tuxfamily.org/files/changelog.php?file=miniupnpc-2.0.20170509.tar.gz

Patch:

Ubuntu Security Notice USN-3298-1

https://www.ubuntu.com/usn/usn-3298-1/

Patch:

Ubuntu Security Notice USN-3298-2

http://www.ubuntu.com/usn/usn-3298-2/

CVE-2017-8798: Schwachstelle in MiniUPnP ermöglicht
Denial-of-Service-Angriff und Ausführung beliebigen Programmcodes

Durch die Verwendung eines falschen Variablentyps für Ganzzahlen kann es im
Kontext von Speicheroperationen in der MiniUPnP-Bibliothek zum Zugriff auf
nicht zugewiesenen Speicher kommen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-0907/

Schwachstelle CVE-2017-8798 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-8798

MiniUPnP 2.0.20170509 Release Notes:
https://miniupnp.tuxfamily.org/files/changelog.php?file=miniupnpc-2.0.20170509.tar.gz

Ubuntu Security Notice USN-3298-1:
https://www.ubuntu.com/usn/usn-3298-1/

Ubuntu Security Notice USN-3298-2:
http://www.ubuntu.com/usn/usn-3298-2/

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben