UPDATE: DFN-CERT-2017-1528 Libidn: Zwei Schwachstellen ermöglichen Denial-of-Service-Angriffe [Linux][Debian][Fedora][SuSE]

UPDATE: DFN-CERT-2017-1528 Libidn: Zwei Schwachstellen ermöglichen Denial-of-Service-Angriffe [Linux][Debian][Fedora][SuSE]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 5 (04.10.2017):
Canonical stellt Sicherheitsupdates für Libidn für die Distributionen
Ubuntu 14.04 LTS, Ubuntu 16.04 LTS und Ubuntu 17.04 bereit, um die
Schwachstelle CVE-2017-14062 zu beheben.
Version 4 (02.10.2017):
Debian stellt für die Distributionen Stretch (stable), Jessie (oldstable)
und Buster (testing) Sicherheitsupdates für ‘libidn2-0’ bereit, welche die
Schwachstelle CVE-2017-14062 adressieren.
Version 3 (19.09.2017):
Canonical stellt für Ubuntu 17.04 ein Sicherheitsupdate für ‘libidn2-0’
bereit. Die Schwachstelle CVE-2017-14061 wird darin nicht adressiert.
Version 2 (11.09.2017):
Für openSUSE Leap 42.3 stehen Sicherheitsupdates bereit, um diese
Schwachstellen zu beheben.
Version 1 (01.09.2017):
Neues Advisory

Betroffene Software:

GNU Libidn < 2.0.4 Betroffene Plattformen: Canonical Ubuntu Linux 14.04 LTS Canonical Ubuntu Linux 16.04 LTS Canonical Ubuntu Linux 17.04 Debian Linux 8.9 Jessie Debian Linux 9.1 Stretch Debian Linux 10.0 Buster GNU/Linux openSUSE Leap 42.3 Red Hat Fedora 25 Red Hat Fedora 26 Red Hat Fedora 27 Extra Packages for Red Hat Enterprise Linux 6 Extra Packages for Red Hat Enterprise Linux 7 Zwei Schwachstellen in Libidn ermöglichen einem entfernten, nicht authentisierten Angreifer die Durchführung von Denial-of-Service (DoS)-Angriffen. Das GNU Libidn Projekt stellt die Version 2.0.4 im Quellcode als Sicherheitsupdate bereit. Für Fedora 25, 26 und 27 sowie Fedora EPEL 6 und 7 steht das Paket 'libidn2-2.0.4-1' und für Fedora 26 und 27 sowie Fedora EPEL 7 das Paket 'mingw-libidn2-2.0.4-1' als Sicherheitsupdate bereit. Die Sicherheitsupdates für Fedora 27 sowie Fedora EPEL 6 und 7 befinden sich im Status 'testing', während diejenigen für Fedora 25 und 26 derzeit noch 'pending' sind. Patch: Fedora Security Update FEDORA-2017-09b1c3f099 (Fedora 27, libidn2-2.0.4-1.fc27) https://bodhi.fedoraproject.org/updates/FEDORA-2017-09b1c3f099

Patch:

Fedora Security Update FEDORA-2017-2d4ead8da9 (Fedora 26,
libidn2-2.0.4-1.fc26)

https://bodhi.fedoraproject.org/updates/FEDORA-2017-2d4ead8da9

Patch:

Fedora Security Update FEDORA-2017-57722ccd30 (Fedora 25,
libidn2-2.0.4-1.fc25)

https://bodhi.fedoraproject.org/updates/FEDORA-2017-57722ccd30

Patch:

Fedora Security Update FEDORA-2017-b469be1a72 (Fedora 27,
mingw-libidn2-2.0.4-1.fc27)

https://bodhi.fedoraproject.org/updates/FEDORA-2017-b469be1a72

Patch:

Fedora Security Update FEDORA-2017-fe4f93fde4 (Fedora 26,
mingw-libidn2-2.0.4-1.fc26)

https://bodhi.fedoraproject.org/updates/FEDORA-2017-fe4f93fde4

Patch:

Fedora Security Update FEDORA-EPEL-2017-63bdf1b0d8 (Fedora EPEL 6,
libidn2-2.0.4-1.el6)

https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2017-63bdf1b0d8

Patch:

Fedora Security Update FEDORA-EPEL-2017-9c2a089ab4 (Fedora EPEL 7,
libidn2-2.0.4-1.el7)

https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2017-9c2a089ab4

Patch:

Fedora Security Update FEDORA-EPEL-2017-f159ad2ec9 (Fedora EPEL 7,
mingw-libidn2-2.0.4-1.el7)

https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2017-f159ad2ec9

Patch:

Libidn Download-Seite

http://ftp.gnu.org/gnu/libidn/

Patch:

openSUSE Security Update openSUSE-SU-2017:2410-1

https://lists.opensuse.org/opensuse-updates/2017-09/msg00045.html

Patch:

Ubuntu Security Notice USN-3421-1

http://www.ubuntu.com/usn/usn-3421-1/

Patch:

Debian Security Advisory DSA-3988-1

https://www.debian.org/security/2017/dsa-3988

Patch:

Ubuntu Security Notice USN-3434-1

http://www.ubuntu.com/usn/usn-3434-1/

CVE-2017-14062: Schwachstelle in Libidn ermöglicht Denial-of-Service-Angriff

In der Funktion ‘decode_digit’ in ‘lib/puny_decode.c’ von Libidn vor Version
2.0.4 kann es zu einem Ganzzahlüberlauf (Integer Overflow) kommen. Ein
entfernter, nicht authentisierter Angreifer kann einen Denial-of-Service
(DoS)-Angriff durchführen oder möglicherweise weiteren nicht spezifizierten
Einfluss zu nehmen.

CVE-2017-14061: Schwachstelle in Libidn ermöglicht Denial-of-Service-Angriff

In der Funktion ‘_isBidi’ in ‘lib/bidi.c’ von Libidn vor Version 2.0.4 kann
es zu einem Ganzzahlüberlauf (Integer Overflow) kommen. Ein entfernter,
nicht authentisierter Angreifer kann einen Denial-of-Service (DoS)-Angriff
durchführen oder möglicherweise weiteren Einfluss zu nehmen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-1528/

Fedora Security Update FEDORA-2017-09b1c3f099 (Fedora 27,
libidn2-2.0.4-1.fc27):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-09b1c3f099

Fedora Security Update FEDORA-2017-2d4ead8da9 (Fedora 26,
libidn2-2.0.4-1.fc26):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-2d4ead8da9

Fedora Security Update FEDORA-2017-57722ccd30 (Fedora 25,
libidn2-2.0.4-1.fc25):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-57722ccd30

Fedora Security Update FEDORA-2017-b469be1a72 (Fedora 27,
mingw-libidn2-2.0.4-1.fc27):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-b469be1a72

Fedora Security Update FEDORA-2017-fe4f93fde4 (Fedora 26,
mingw-libidn2-2.0.4-1.fc26):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-fe4f93fde4

Fedora Security Update FEDORA-EPEL-2017-63bdf1b0d8 (Fedora EPEL 6,
libidn2-2.0.4-1.el6):
https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2017-63bdf1b0d8

Fedora Security Update FEDORA-EPEL-2017-9c2a089ab4 (Fedora EPEL 7,
libidn2-2.0.4-1.el7):
https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2017-9c2a089ab4

Fedora Security Update FEDORA-EPEL-2017-f159ad2ec9 (Fedora EPEL 7,
mingw-libidn2-2.0.4-1.el7):
https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2017-f159ad2ec9

Libidn Download-Seite:
http://ftp.gnu.org/gnu/libidn/

Libidn 2.0.4 Release:
https://lists.gnu.org/archive/html/info-gnu/2017-08/msg00013.html

openSUSE Security Update openSUSE-SU-2017:2410-1:
https://lists.opensuse.org/opensuse-updates/2017-09/msg00045.html

Ubuntu Security Notice USN-3421-1:
http://www.ubuntu.com/usn/usn-3421-1/

Debian Security Advisory DSA-3988-1:
https://www.debian.org/security/2017/dsa-3988

Ubuntu Security Notice USN-3434-1:
http://www.ubuntu.com/usn/usn-3434-1/

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben