Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Historie:
Version 4 (29.09.2017):
Debian veröffentlicht für die stabile Distribution Stretch ein
Sicherheitsupdate auf die Chromium Version 61.0.3163.100. In dem
referenzierten Debian Security Advisory werden auch die Schwachstellen
CVE-2017-5111 – CVE-2017-5120 als behoben aufgeführt, die bereits mit der
Chromium Version 61.0.3163.79 adressiert wurden, da es für diese Version
kein Sicherheitsupdate von Debian gab.
Version 3 (25.09.2017):
Red Hat stellt für die Red Hat Enterprise Linux 6 Produktvarianten Server,
Desktop und Workstation den Chromium Browser in der Version 61.0.3163.100
als Sicherheitsupdate bereit.
Version 2 (25.09.2017):
Für openSUSE Leap 42.3, openSUSE Leap 42.2, SUSE Package Hub for SUSE
Linux Enterprise 12 sowie für Fedora 25, 26, 27 und Fedora EPEL 7 steht
der Chromium Browser in der Version 61.0.3163.100 als Sicherheitsupdate
bereit. Die Sicherheitsupdates für Fedora beheben zeitgleich auch die
Schwachstellen aus dem zuvor von Google veröffentlichten Chrome Stable
Channel Update vom 5. September 2017 (Version 61.0.3163.79). Das Update
für Fedora EPEL 7 befinden sich derzeit im Status ‘testing’, während die
Updates für Fedora 25, 26 und 27 noch den Status ‘pending’ besitzen.
Version 1 (22.09.2017):
Neues Advisory
Betroffene Software:
Chromium < 61.0.3163.100 Google Chrome < 61.0.3163.100 Betroffene Plattformen: SUSE Package Hub for SUSE Linux Enterprise 12 Apple Mac OS X macOS Sierra Debian Linux 9.1 Stretch GNU/Linux Microsoft Windows openSUSE Leap 42.2 openSUSE Leap 42.3 Red Hat Enterprise Linux Desktop 6 Red Hat Enterprise Linux Server 6 Red Hat Enterprise Linux Workstation 6 Red Hat Fedora 25 Red Hat Fedora 26 Red Hat Fedora 27 Extra Packages for Red Hat Enterprise Linux 7 In Google Chrome und Chromium vor Version 61.0.3163.100 existieren drei Schwachstellen, von denen Google nur die zwei von externen Sicherheitsforschern entdeckten explizit auflistet. Die aufgeführten Schwachstellen ermöglichen einem entfernten, nicht authentifizierten Angreifer vermutlich das Ausführen beliebigen Programmcodes und die Durchführung von Denial-of-Service (DoS)-Angriffen. Die aufgelisteten Schwachstellen stuft der Hersteller in Bezug auf die Kritikalität als 'hoch' ein. Google veröffentlicht das Chrome Stable Channel Update for Desktop 61.0.3163.100 für Windows, Macintosh (Mac OS X und macOS Sierra) sowie Linux als Sicherheitsupdate zur Behebung dieser Schwachstellen. Patch: Chrome Stable Channel Update, 21. September 2017 https://chromereleases.googleblog.com/2017/09/stable-channel-update-for-desktop_21.html
Patch:
Fedora Security Update FEDORA-2017-109f8db088 (Fedora 27,
chromium-61.0.3163.100-1)
https://bodhi.fedoraproject.org/updates/FEDORA-2017-109f8db088
Patch:
Fedora Security Update FEDORA-2017-efeb59171d (Fedora 26,
chromium-61.0.3163.100-1)
https://bodhi.fedoraproject.org/updates/FEDORA-2017-efeb59171d
Patch:
Fedora Security Update FEDORA-2017-f0f24bb2a9 (Fedora 25,
chromium-61.0.3163.100-1)
https://bodhi.fedoraproject.org/updates/FEDORA-2017-f0f24bb2a9
Patch:
Fedora Security Update FEDORA-EPEL-2017-9179bc1cf5 (Fedora EPEL 7,
chromium-61.0.3163.100-1)
https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2017-9179bc1cf5
Patch:
Red Hat Security Advisory RHSA-2017:2792
https://access.redhat.com/errata/RHSA-2017:2792
Patch:
openSUSE Security Update openSUSE-SU-2017:2557-1
http://lists.opensuse.org/opensuse-updates/2017-09/msg00097.html
Patch:
openSUSE Security Update openSUSE-SU-2017:2558-1
http://lists.opensuse.org/opensuse-updates/2017-09/msg00098.html
Patch:
Debian Security Advisory DSA-3985-1
https://www.debian.org/security/2017/dsa-3985
CVE-2017-5121 CVE-2017-5122: Schwachstellen in V8 ermöglichen
Denial-of-Service-Angriffe und Ausführung beliebigen Programmcodes
In Google Chrome vor Version 61.0.3163.100 existieren zwei nicht näher
spezifizierte Schwachstellen in der Komponente V8, durch die
Speicherzugriffe außerhalb zulässiger Speichergrenzen möglich sind
(Out-of-Bounds Access). Ein entfernter, nicht authentifizierter Angreifer
kann diese Schwachstellen wahrscheinlich für einen Denial-of-Service
(DoS)-Angriff und das Ausführen beliebigen Programmcodes ausnutzen.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-1679/
Chrome Stable Channel Update, 21. September 2017:
https://chromereleases.googleblog.com/2017/09/stable-channel-update-for-desktop_21.html
Schwachstelle CVE-2017-5121 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-5121
Schwachstelle CVE-2017-5122 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-5122
Fedora Security Update FEDORA-2017-109f8db088 (Fedora 27,
chromium-61.0.3163.100-1):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-109f8db088
Fedora Security Update FEDORA-2017-efeb59171d (Fedora 26,
chromium-61.0.3163.100-1):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-efeb59171d
Fedora Security Update FEDORA-2017-f0f24bb2a9 (Fedora 25,
chromium-61.0.3163.100-1):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-f0f24bb2a9
Fedora Security Update FEDORA-EPEL-2017-9179bc1cf5 (Fedora EPEL 7,
chromium-61.0.3163.100-1):
https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2017-9179bc1cf5
Red Hat Security Advisory RHSA-2017:2792:
https://access.redhat.com/errata/RHSA-2017:2792
openSUSE Security Update openSUSE-SU-2017:2557-1:
http://lists.opensuse.org/opensuse-updates/2017-09/msg00097.html
openSUSE Security Update openSUSE-SU-2017:2558-1:
http://lists.opensuse.org/opensuse-updates/2017-09/msg00098.html
Debian Security Advisory DSA-3985-1:
https://www.debian.org/security/2017/dsa-3985
(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.
