UPDATE: DFN-CERT-2017-1101 Expat: Zwei Schwachstellen ermöglichen die Ausführung beliebigen Programmcodes und einen Denial-of-Service-Angriff [Linux][Debian]

UPDATE: DFN-CERT-2017-1101 Expat: Zwei Schwachstellen ermöglichen die Ausführung beliebigen Programmcodes und einen Denial-of-Service-Angriff [Linux][Debian]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 2 (04.07.2017):
Für die Debian-Distribution Buster (testing) steht nun ebenfalls ein
Sicherheitsupdate für ‘expat’ zur Verfügung.
Version 1 (26.06.2017):
Neues Advisory

Betroffene Software:

Expat

Betroffene Plattformen:

Debian Linux 8.8 Jessie
Debian Linux 9.0 Stretch
Debian Linux 10.0 Buster

Zwei Schwachstellen in Expat ermöglichen es einem entfernten, nicht
authentisierten Angreifer die Ausführung beliebigen Programmcodes sowie die
Durchführung eines Denial-of-Service-Angriffs.

Debian stellt für die vormals stabile Distribution Jessie ein
Backport-Sicherheitsupdate und für die stabile Distribution Stretch ein
Sicherheitsupdate bereit. Die Schwachstelle CVE-2016-9063 wurde in Stretch
bereits vor der initialen Veröffentlichung behoben.

Patch:

Debian Security Advisory DSA-3898-1

https://www.debian.org/security/2017/dsa-3898

CVE-2017-9233: Schwachstelle in Expat ermöglicht Denial-of-Service-Angriff

In der Funktion ‘entityValueInitProcessor’ in Expat bis einschließlich
Version 2.2.0 existiert eine Schwachstelle, die ein entfernter, nicht
authentisierter Angreifer mit bösartigen XMLs in externen Entitäten
ausnutzen kann, um eine Endlosschleife auszulösen und dadurch einen
Denial-of-Service (DoS)-Zustand herbeizuführen.

CVE-2016-9063: Schwachstelle in Expat ermöglicht Ausführung beliebigen
Programmcodes

Durch eine Schwachstelle in der Bibliothek Expat von Mozilla Firefox kann es
beim Parsen von .XML-Dateien zu Ganzzahlüberläufen kommen. Ein entfernter,
nicht authentifizierter Angreifer kann diese Schwachstelle ausnutzen, um
Denial-of-Service (DoS)-Angriffe durchzuführen oder eventuell sogar
beliebigen Programmcode auszuführen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-1101/

Schwachstelle CVE-2016-9063 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-9063

Schwachstelle CVE-2017-9233 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-9233

Debian Security Advisory DSA-3898-1:
https://www.debian.org/security/2017/dsa-3898

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben