UPDATE: DFN-CERT-2017-2265 LibXML: Eine Schwachstelle ermöglicht das Ausführen beliebigen Programmcodes [Linux][Debian]

UPDATE: DFN-CERT-2017-2265 LibXML: Eine Schwachstelle ermöglicht das Ausführen beliebigen Programmcodes [Linux][Debian]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 3 (15.01.2018):
Debian stellt für die stabile Distribution Stretch (9.3) und die alte
stabile Distribution Jessie (8.10) Sicherheitsupdates für ‘libxml2’ zur
Verfügung, um die Schwachstelle zu beheben.
Version 2 (14.12.2017):
Für Ubuntu 12.04 LTS (ESM) steht ebenfalls ein Sicherheitsupdate zur
Behebung der Schwachstelle bereit.
Version 1 (13.12.2017):
Neues Advisory

Betroffene Software:

LibXML2

Betroffene Plattformen:

Canonical Ubuntu Linux 12.04 ESM
Canonical Ubuntu Linux 14.04 LTS
Canonical Ubuntu Linux 16.04 LTS
Canonical Ubuntu Linux 17.04
Canonical Ubuntu Linux 17.10
Debian Linux 8.10 Jessie
Debian Linux 9.3 Stretch

Ein entfernter, nicht authentifizierter Angreifer kann eine Schwachstelle in
LibXML ausnutzen, um einen Denial-of-Service (DoS)-Angriff durchzuführen
oder beliebigen Programmcode zur Ausführung zu bringen.

Canonical stellt für die Distributionen Ubuntu 17.10, Ubuntu 17.04, Ubuntu
16.04 LTS und Ubuntu 14.04 LTS verschiedene Sicherheitsupdates bereit, um
diese Schwachstelle zu beheben.

Patch:

Ubuntu Security Notice USN-3513-1

http://www.ubuntu.com/usn/usn-3513-1/

Patch:

Ubuntu Security Notice USN-3513-2

https://usn.ubuntu.com/usn/usn-3513-2/

Patch:

Debian Security Advisory DSA-4086-1

https://www.debian.org/security/2018/dsa-4086

CVE-2017-15412: Schwachstelle in LibXML ermöglicht Ausführen beliebigen
Programmcodes

In der Komponente LibXML, wie unter anderem in Google Chrome und Chromium
vor Version 63.0.3239.84 verwendet, existiert eine nicht näher beschriebene
Schwachstelle, durch die Speicherbereiche nach deren Freigabe weiterhin
verwendet werden können (Use-after-Free).

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-2265/

Schwachstelle CVE-2017-15412 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-15412

Ubuntu Security Notice USN-3513-1:
http://www.ubuntu.com/usn/usn-3513-1/

Ubuntu Security Notice USN-3513-2:
https://usn.ubuntu.com/usn/usn-3513-2/

Debian Security Advisory DSA-4086-1:
https://www.debian.org/security/2018/dsa-4086

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben