DFN-CERT

Advisory-Archiv

2016-1500: libcurl: Eine Schwachstelle ermöglicht einen Denial-of-Service-Angriff

Historie:

Version 1 (2016-09-15 11:17)
Neues Advisory
Version 2 (2017-08-02 12:44)
Red Hat stellt für verschiedene Red Hat Enterprise Linux 7 Releases aus den Bereichen Client, ComputeNode, Server und Workstation Sicherheitsupdates für 'curl' bereit, um die Schwachstelle zu beheben. Die Sicherheitsupdates wurden im Rahmen des Releases von Red Hat Enterprise Linux 7.4 veröffentlicht.
Version 3 (2017-08-08 17:26)
Für Oracle Linux 7 (x86_64) steht zur Behebung der Schwachstelle ein Backport-Sicherheitsupdate für 'curl' bereit.
Version 4 (2018-01-12 18:25)
IBM informiert darüber, dass IBM Security Access Manager Appliances mit IBM Security Access Manager 9.0.3.0 von der Schwachstelle in den cURL-Bibliotheken betroffen sind und stellt IBM Security Access Manager 9.0.3.1 als Sicherheitsupdate zur Verfügung (APAR IJ02896).

Betroffene Software

Office
Sicherheit
Systemsoftware

Betroffene Plattformen

Hardware
Netzwerk
IBM
Linux
Oracle

Beschreibung:

Ein entfernter, nicht authentifizierter Angreifer kann einen Denial-of-Service (DoS)-Angriff durchführen, indem er einen der Werte '2^32-1', 'UINT_MAX' oder '-1' als Eingangsparameter für die Länge der Eingangsdaten in verschiedenen Funktionen von libcurl verwendet.

Der Hersteller haxx stellt die Version 7.50.3 für cURL und libcurl zur Behebung der Schwachstelle bereit und weist darauf hin, dass libcurl in verschiedenen Anwendungen verwendet wird, die nicht auf die Verknüpfung mit libcurl hinweisen. Das Kommandozeilenwerkzeug cURL selbst ist von der Schwachstelle nicht betroffen. Für Fedora 25 steht ein Sicherheitsupdate für curl auf Version 7.50.3 im Status 'testing' bereit. Für Fedora 23 und 24 stehen Backport-Sicherheitsupdates im Status 'testing' bereit, um die Schwachstelle zu beheben.

Schwachstellen:

CVE-2016-7167

Schwachstelle in libcurl ermöglicht Denial-of-Service-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.