UPDATE: DFN-CERT-2017-1528 Libidn: Zwei Schwachstellen ermöglichen Denial-of-Service-Angriffe [Linux][Fedora][SuSE]

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 2 (11.09.2017):
Für openSUSE Leap 42.3 stehen Sicherheitsupdates bereit, um diese
Schwachstellen zu beheben.
Version 1 (01.09.2017):
Neues Advisory

Betroffene Software:

GNU Libidn < 2.0.4 Betroffene Plattformen: GNU/Linux openSUSE Leap 42.3 Red Hat Fedora 25 Red Hat Fedora 26 Red Hat Fedora 27 Extra Packages for Red Hat Enterprise Linux 6 Extra Packages for Red Hat Enterprise Linux 7 Zwei Schwachstellen in Libidn ermöglichen einem entfernten, nicht authentisierten Angreifer die Durchführung von Denial-of-Service (DoS)-Angriffen. Das GNU Libidn Projekt stellt die Version 2.0.4 im Quellcode als Sicherheitsupdate bereit. Für Fedora 25, 26 und 27 sowie Fedora EPEL 6 und 7 steht das Paket 'libidn2-2.0.4-1' und für Fedora 26 und 27 sowie Fedora EPEL 7 das Paket 'mingw-libidn2-2.0.4-1' als Sicherheitsupdate bereit. Die Sicherheitsupdates für Fedora 27 sowie Fedora EPEL 6 und 7 befinden sich im Status 'testing', während diejenigen für Fedora 25 und 26 derzeit noch 'pending' sind. Patch: Fedora Security Update FEDORA-2017-09b1c3f099 (Fedora 27, libidn2-2.0.4-1.fc27) https://bodhi.fedoraproject.org/updates/FEDORA-2017-09b1c3f099

Patch:

Fedora Security Update FEDORA-2017-2d4ead8da9 (Fedora 26,
libidn2-2.0.4-1.fc26)

https://bodhi.fedoraproject.org/updates/FEDORA-2017-2d4ead8da9

Patch:

Fedora Security Update FEDORA-2017-57722ccd30 (Fedora 25,
libidn2-2.0.4-1.fc25)

https://bodhi.fedoraproject.org/updates/FEDORA-2017-57722ccd30

Patch:

Fedora Security Update FEDORA-2017-b469be1a72 (Fedora 27,
mingw-libidn2-2.0.4-1.fc27)

https://bodhi.fedoraproject.org/updates/FEDORA-2017-b469be1a72

Patch:

Fedora Security Update FEDORA-2017-fe4f93fde4 (Fedora 26,
mingw-libidn2-2.0.4-1.fc26)

https://bodhi.fedoraproject.org/updates/FEDORA-2017-fe4f93fde4

Patch:

Fedora Security Update FEDORA-EPEL-2017-63bdf1b0d8 (Fedora EPEL 6,
libidn2-2.0.4-1.el6)

https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2017-63bdf1b0d8

Patch:

Fedora Security Update FEDORA-EPEL-2017-9c2a089ab4 (Fedora EPEL 7,
libidn2-2.0.4-1.el7)

https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2017-9c2a089ab4

Patch:

Fedora Security Update FEDORA-EPEL-2017-f159ad2ec9 (Fedora EPEL 7,
mingw-libidn2-2.0.4-1.el7)

https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2017-f159ad2ec9

Patch:

Libidn Download-Seite

http://ftp.gnu.org/gnu/libidn/

Patch:

openSUSE Security Update openSUSE-SU-2017:2410-1

https://lists.opensuse.org/opensuse-updates/2017-09/msg00045.html

CVE-2017-14062: Schwachstelle in Libidn ermöglicht Denial-of-Service-Angriff

In der Funktion ‘decode_digit’ in ‘lib/puny_decode.c’ von Libidn vor Version
2.0.4 kann es zu einem Ganzzahlüberlauf (Integer Overflow) kommen. Ein
entfernter, nicht authentisierter Angreifer kann einen Denial-of-Service
(DoS)-Angriff durchführen oder möglicherweise weiteren nicht spezifizierten
Einfluss zu nehmen.

CVE-2017-14061: Schwachstelle in Libidn ermöglicht Denial-of-Service-Angriff

In der Funktion ‘_isBidi’ in ‘lib/bidi.c’ von Libidn vor Version 2.0.4 kann
es zu einem Ganzzahlüberlauf (Integer Overflow) kommen. Ein entfernter,
nicht authentisierter Angreifer kann einen Denial-of-Service (DoS)-Angriff
durchführen oder möglicherweise weiteren Einfluss zu nehmen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-1528/

Fedora Security Update FEDORA-2017-09b1c3f099 (Fedora 27,
libidn2-2.0.4-1.fc27):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-09b1c3f099

Fedora Security Update FEDORA-2017-2d4ead8da9 (Fedora 26,
libidn2-2.0.4-1.fc26):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-2d4ead8da9

Fedora Security Update FEDORA-2017-57722ccd30 (Fedora 25,
libidn2-2.0.4-1.fc25):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-57722ccd30

Fedora Security Update FEDORA-2017-b469be1a72 (Fedora 27,
mingw-libidn2-2.0.4-1.fc27):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-b469be1a72

Fedora Security Update FEDORA-2017-fe4f93fde4 (Fedora 26,
mingw-libidn2-2.0.4-1.fc26):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-fe4f93fde4

Fedora Security Update FEDORA-EPEL-2017-63bdf1b0d8 (Fedora EPEL 6,
libidn2-2.0.4-1.el6):
https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2017-63bdf1b0d8

Fedora Security Update FEDORA-EPEL-2017-9c2a089ab4 (Fedora EPEL 7,
libidn2-2.0.4-1.el7):
https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2017-9c2a089ab4

Fedora Security Update FEDORA-EPEL-2017-f159ad2ec9 (Fedora EPEL 7,
mingw-libidn2-2.0.4-1.el7):
https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2017-f159ad2ec9

Libidn Download-Seite:
http://ftp.gnu.org/gnu/libidn/

Libidn 2.0.4 Release:
https://lists.gnu.org/archive/html/info-gnu/2017-08/msg00013.html

openSUSE Security Update openSUSE-SU-2017:2410-1:
https://lists.opensuse.org/opensuse-updates/2017-09/msg00045.html

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.