Liebes Linux-Magazin-Team,
bitte beachten Sie die Informationen zu den verfügbaren Sicherheitsupdates
in der folgenden Sicherheitsmeldung.
Historie:
Version 9 (19.08.19):
Für SUSE Enterprise Storage 5 steht ein Sicherheitsupdate für ‘bzip2’
bereit, um die mit dem vorhergehenden Sicherheitsupdate für CVE-2019-12900
eingeführte Regression beheben.
Version 8 (30.07.19):
Durch den Patch für CVE-2019-12900 wurde eine Regression eingeführt,
aufgrund der es beim Entpacken von lbzip2-Dateien zu Problemen kommen
kann. Für die SUSE Linux Enterprise Produktvarianten Software Development
Kit 12 SP5 und SP4, Server for SAP 12 SP3, SP2 und SP1, Server 12 SP5,
SP4, SP3 LTSS, SP3 BCL, SP2 LTSS, SP2 BCL und SP1 LTSS, Desktop 12 SP5 und
SP4 sowie SUSE OpenStack Cloud 7 und 8, SUSE Openstack Cloud Crowbar 8,
SUSE Enterprise Storage 4 und 5, SUSE CaaS Platform 3.0 und HPE Helion
Openstack 8 stehen neue Sicherheitsupdates bereit, um diese Regression zu
beheben.
Version 7 (23.07.19):
SUSE veröffentlicht für die SUSE Linux Enterprise Produkte Development Kit
12 SP5 und SP4, Server for SAP 12 SP3, SP2 und SP1, Server 12 SP5, SP4,
SP3 LTSS, SP2 LTSS, SP2 BCL und SP1 LTSS, Desktop 12 SP5 und SP4 sowie
SUSE OpenStack Cloud 8 und 7, Enterprise Storage 5 und 4 sowie CaaS
Platform 3.0 Sicherheitsupdates für ‘bzip2’, um die beiden aufgeführten
Schwachstellen zu beheben.
Version 6 (19.07.19):
Durch das ursprüngliche Update zur Behebung der Schwachstelle
CVE-2019-12900 in bzip2 für Debian Jessie (LTS) wurden Regressionen
eingeführt, die beim Entpacken von Dateien auftreten. Es steht ein neues
Update bereit, um diese Regressionen zu adressieren.
Version 5 (16.07.19):
Für SUSE Linux Enterprise Server 11 SP4 LTSS steht ein Sicherheitsupdate
zur Behebung der Schwachstellen in ‘bzip2’ bereit. Aktualisierte Pakete
stehen auch für SUSE Linux Enterprise Debuginfo 11 SP3 und SP4 zur
Verfügung.
Version 4 (15.07.19):
Für SUSE Linux Enterprise Module for Basesystem und SUSE Linux Enterprise
Module for Open Buildservice Development Tools jeweils in Version 15 und
15 SP1 stehen Sicherheitsupdates für ‘bzip2’ bereit, um die Schwachstelle
CVE-2019-12900 zu beheben.
Version 3 (27.06.19):
Canonical veröffentlicht jetzt auch für Ubuntu 12.04 ESM und Ubuntu 14.04
ESM Sicherheitsupdates für ‘bzip2’, um die Schwachstellen zu beheben.
Version 2 (26.06.19):
Canonical stellt für die Distributionen Ubuntu 16.04 LTS, 18.04 LTS, 18.10
und 19.04 Sicherheitsupdates für ‘bzip2’ zur Verfügung.
Version 1 (25.06.19):
Neues Advisory
Ein entfernter, nicht authentisierter Angreifer kann zwei Schwachstellen in
bzip2 ausnutzen, um beliebigen Programmcode auszuführen oder Denial-of-
Service (DoS)-Angriffe gegen die Anwendung durchzuführen.
Für Debian 8 Jessie (LTS) stehen Sicherheitsupdates für ‘bzip2’ auf die
Version 1.0.6-7+deb8u1 bereit, um die Schwachstellen zu beheben.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Schwachstellenarchiv unter:
[https://adv-archiv.dfn-cert.de/adv/2019-1287]
Mit freundlichen Grüßen,
Ihr DFN-CERT Incident Response Team
—
(c) DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen ist auf den Ursprung in
angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für die DFN-CERT
Webseite. https://www.dfn-cert.de/impressum.html
