UPDATE: DFN-CERT-2017-0934 OpenLDAP: Eine Schwachstelle ermöglicht einen Denial-of-Service-Angriff [Linux][Debian][Fedora][SuSE][Unix][AIX][FreeBSD][Apple][Solaris][Windows][Netzwerk]

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 6 (20.07.2017):
Für Ubuntu 12.04 LTS steht ein Sicherheitsupdate für ‘slapd’ bereit, um
die Schwachstelle zu beheben.
Version 5 (06.07.2017):
Für Fedora 25 steht ein Sicherheitsupdate für ‘openldap’ im Status
‘testing’ bereit.
Version 4 (15.06.2017):
Für die SUSE Linux Enterprise Produkte Software Development Kit, Server
for Raspberry Pi, Server und Desktop in der Version 12 SP2 sowie OpenStack
Cloud Magnum Orchestration 7 stehen Sicherheitsupdates für ‘openldap2’ zur
Verfügung, um die Schwachstelle zu beheben.
Version 3 (01.06.2017):
Canonical veröffentlicht für die Distributionen Ubuntu 17.04, 16.10, 16.04
LTS und 14.04 LTS Sicherheitsupdates, um die Schwachstelle zu beheben.
Version 2 (31.05.2017):
Debian stellt für die stabile Distribution Debian Jessie ein
Sicherheitsupdate bereit.
Version 1 (30.05.2017):
Neues Advisory

Betroffene Software:

OpenLDAP <= 2.4.44 Betroffene Plattformen: SUSE Linux Enterprise Software Development Kit 12 SP2 OpenStack Magnum 7 Apple Mac OS X macOS Sierra Canonical Ubuntu Linux 12.04 LTS Canonical Ubuntu Linux 14.04 LTS Canonical Ubuntu Linux 16.04 LTS Canonical Ubuntu Linux 16.10 Canonical Ubuntu Linux 17.04 Debian Linux 8.8 Jessie FreeBSD GNU/Linux HP-UX IBM AIX Microsoft Windows SUSE Linux Enterprise Desktop 12 SP2 SUSE Linux Enterprise Server 12 SP2 SUSE Linux Enterprise Server 12 SP2 for Raspberry Pi Oracle Solaris Red Hat Fedora 25 Eine Schwachstelle in OpenLDAP ermöglicht es einem lokalen, einfach authentisierten Angreifer mit der Berechtigung zum Durchsuchen eines Verzeichnisses, mit Hilfe einer speziell präparierten Suchanfrage einen Denial-of-Service-Angriff gegen den Stand-alone LDAP Daemon 'slapd' durchzuführen. Das OpenLDAP Projekt informiert über die Schwachstelle und stellt zur Behebung einen Patch bereit. Patch: OpenLDAP Issue ID 8655 http://www.openldap.org/its/?findid=8655

Patch:

Debian Security Advisory DSA-3868-1

https://www.debian.org/security/2017/dsa-3868

Patch:

Ubuntu Security Notice USN-3307-1

https://www.ubuntu.com/usn/usn-3307-1/

Patch:

SUSE Security Update SUSE-SU-2017:1567-1

http://lists.suse.com/pipermail/sle-security-updates/2017-June/002942.html

Patch:

Fedora Security Update FEDORA-2017-1ca18683e4 (Fedora 25,
openldap-2.4.44-11.fc25)

https://bodhi.fedoraproject.org/updates/FEDORA-2017-1ca18683e4

Patch:

Ubuntu Security Notice USN-3307-2

http://www.ubuntu.com/usn/usn-3307-2/

CVE-2017-9287: Schwachstelle in OpenLDAP ermöglicht
Denial-of-Service-Angriff

In ‘servers/slapd/back-mdb/search.c’ in OpenLDAP bis inklusive Version
2.4.44 existiert eine Schwachstelle, die es ermöglicht bereits freigegebenen
Speicher erneut freizugeben (Double Free) und so eine
Speicherschutzverletzung auszulösen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-0934/

OpenLDAP Issue ID 8655:
http://www.openldap.org/its/?findid=8655

Schwachstelle CVE-2017-9287 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-9287

Debian Security Advisory DSA-3868-1:
https://www.debian.org/security/2017/dsa-3868

Ubuntu Security Notice USN-3307-1:
https://www.ubuntu.com/usn/usn-3307-1/

SUSE Security Update SUSE-SU-2017:1567-1:
http://lists.suse.com/pipermail/sle-security-updates/2017-June/002942.html

Fedora Security Update FEDORA-2017-1ca18683e4 (Fedora 25,
openldap-2.4.44-11.fc25):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-1ca18683e4

Ubuntu Security Notice USN-3307-2:
http://www.ubuntu.com/usn/usn-3307-2/

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.