Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Historie:
Version 3 (30.01.2018):
SUSE stellt für die SUSE Linux Enterprise Produktvarianten Software
Development Kit 12 SP2 und 12 SP3, Server for Raspberry Pi 12 SP2, Server
12 SP2 und 12 SP3, Desktop 12 SP2 und 12 SP3 sowie Container as a Service
Platform ALL und OpenStack Cloud Magnum Orchestration 7 erneut
Sicherheitsupdates bereit, welche zusätzlich die Schwachstelle
CVE-2017-13734 (ebenfalls Denial-of-Service) adressieren.
Version 2 (22.01.2018):
Für openSUSE Leap 42.2 und 42.3 stehen Sicherheitsupdates für ‘ncurses’
zur Behebung der Schwachstellen bereit.
Version 1 (17.01.2018):
Neues Advisory
Betroffene Software:
ncurses
Betroffene Plattformen:
SUSE Container-as-a-Service-(CaaS)-Plattform ALL
SUSE Linux Enterprise Software Development Kit 12 SP2
SUSE Linux Enterprise Software Development Kit 12 SP3
SUSE OpenStack Cloud 7
openSUSE Leap 42.2
openSUSE Leap 42.3
SUSE Linux Enterprise Desktop 12 SP2
SUSE Linux Enterprise Desktop 12 SP3
SUSE Linux Enterprise Server 12 SP2
SUSE Linux Enterprise Server 12 SP2 for Raspberry Pi
SUSE Linux Enterprise Server 12 SP3
Eine Vielzahl von Schwachstellen ermöglicht einem entfernten, nicht
authentisierten Angreifer die Durchführung von Denial-of-Service
(DoS)-Angriffen.
SUSE stellt für die SUSE Linux Enterprise Produktvarianten Software
Development Kit 12 SP2 und 12 SP3, Server for Raspberry Pi 12 SP2, Server 12
SP2 und 12 SP3, Desktop 12 SP2 und 12 SP3 sowie Container as a Service
Platform ALL und OpenStack Cloud Magnum Orchestration 7 Sicherheitsupdates
zur Behebung der Schwachstellen bereit.
Patch:
SUSE Security Update SUSE-SU-2018:0120-1
http://lists.suse.com/pipermail/sle-security-updates/2018-January/003606.html
Patch:
openSUSE Security Update openSUSE-SU-2018:0159-1
http://lists.opensuse.org/opensuse-updates/2018-01/msg00062.html
Patch:
SUSE Security Update SUSE-SU-2018:0284-1
http://lists.suse.com/pipermail/sle-security-updates/2018-January/003678.html
CVE-2017-13734: Schwachstelle in ncurses ermöglicht
Denial-of-Service-Angriff
Ncurses enthält eine Schwachstelle, die durch fehlerhafte Adressanweisungen
in der Funktion ‘_nc_safe_strcat’ von ‘strings.c’ hervorgerufen wird. Ein
entfernter, nicht authentisierter Angreifer kann diese Schwachstelle für
einen Denial-of-Service (DoS)-Angriff ausnutzen.
CVE-2017-13733: Schwachstelle in ncurses ermöglicht
Denial-of-Service-Angriff
Ncurses enthält eine Schwachstelle, die durch fehlerhafte Adressanweisungen
in der Funktion ‘fmt_entry’ von ‘progs/dump_entry.c’ hervorgerufen wird. Ein
entfernter, nicht authentisierter Angreifer kann einen Denial-of-Service
Angriff durchführen.
CVE-2017-13732: Schwachstelle in ncurses ermöglicht
Denial-of-Service-Angriff
Ncurses enthält eine Schwachstelle, die durch fehlerhafte Adressanweisungen
in der Funktion ‘dump_uses’ von ‘progs/dump_entry.c’ hervorgerufen wird. Ein
entfernter, nicht authentisierter Angreifer kann die Schwachstelle für einen
Denial-of-Service (DoS)-Angriff ausnutzen.
CVE-2017-13731: Schwachstelle in ncurses ermöglicht
Denial-of-Service-Angriff
Ncurses enthält eine Schwachstelle, die durch fehlerhafte Adressanweisungen
in der Funktion ‘postprocess_termcap’ von ‘parse_entry.c’ hervorgerufen
wird. Ein entfernter, nicht authentisierter Angreifer kann die Schwachstelle
für einen Denial-of-Service (DoS)-Angriff ausnutzen.
CVE-2017-13730: Schwachstelle in ncurses ermöglicht
Denial-of-Service-Angriff
Ncurses enthält eine Schwachstelle, die durch fehlerhafte Adressanweisungen
in der Funktion ‘_nc_readentry’ von ‘progs/tic.c’ hervorgerufen wird. Ein
entfernter, nicht authentisierter Angreifer kann die Schwachstelle für einen
Denial-of-Service (DoS)-Angriff ausnutzen.
CVE-2017-13729: Schwachstelle in ncurses ermöglicht
Denial-of-Service-Angriff
Ncurses enthält eine Schwachstelle, die durch fehlerhafte Adressanweisungen
in der Funktion ‘_nc_save_str’ von ‘alloc_entry.c’ hervorgerufen wird. Ein
entfernter, nicht authentisierter Angreifer kann die Schwachstelle für einen
Denial-of-Service (DoS)-Angriff ausnutzen.
CVE-2017-13728: Schwachstelle in ncurses ermöglicht
Denial-of-Service-Angriff
Ncurses enthält eine Schwachstelle aufgrund einer Endlosschleife in der
Funktion ‘next_char’ von ‘comp_scan.c’. Ein entfernter, nicht
authentisierter Angreifer kann mit Hilfe von speziell präparierten Eingaben
einen Denial-of-Service (DoS)-Zustand herbeiführen.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2018-0114/
Schwachstelle CVE-2017-13728 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-13728
Schwachstelle CVE-2017-13729 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-13729
Schwachstelle CVE-2017-13730 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-13730
Schwachstelle CVE-2017-13731 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-13731
Schwachstelle CVE-2017-13732 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-13732
Schwachstelle CVE-2017-13733 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-13733
Schwachstelle CVE-2017-13734 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-13734
SUSE Security Update SUSE-SU-2018:0120-1:
http://lists.suse.com/pipermail/sle-security-updates/2018-January/003606.html
openSUSE Security Update openSUSE-SU-2018:0159-1:
http://lists.opensuse.org/opensuse-updates/2018-01/msg00062.html
SUSE Security Update SUSE-SU-2018:0284-1:
http://lists.suse.com/pipermail/sle-security-updates/2018-January/003678.html
(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.
