DFN-CERT

Advisory-Archiv

2017-0647: XStream, IBM Notes: Eine Schwachstelle ermöglicht einen Denial-of-Service-Angriff

Historie:

Version 1 (2017-04-13 11:36)
Neues Advisory
Version 2 (2017-05-03 19:18)
Die Schwachstelle hat mittlerweile den Bezeichner CVE-2017-7957 erhalten. Debian stellt für die stabile Distribution Debian Jessie ein Backport-Sicherheitsupdate bereit und kündigt an, dass die Schwachstelle in der nächsten stabilen Distribution Debian Stretch bald behoben wird.
Version 3 (2017-10-04 14:02)
Die Schwachstelle in XStream betrifft auch IBM Notes in den Versionen 9.0, 9.0.1 bis Version 9.0.1 Feature Pack 8, 8.5, 8.5.1, 8.5.2 und 8.5.3 bis Version 8.5.3 Fix Pack 6 Interim Fix 14. Ein Patch zur Behebung der XStream-Schwachstelle ist ab der Version 9.0.1 Feature Pack 9 und 8.5.3 Fix Pack 6 Interim Fix 15 in IBM Notes implementiert.
Version 4 (2017-10-13 19:35)
IBM veröffentlicht weitere Informationen zur Betroffenheit von IBM Notes durch Schwachstellen in der Open Source Bibliothek XStream, referenziert dabei aber explizit weiterhin nur CVE-2017-7957. Für IBM Notes MAC 64 wird nun zusätzlich die Version 901 MAC 64 IF12 als Sicherheitsupdate benannt.
Version 5 (2017-12-21 12:03)
SUSE stellt für SUSE Manager Server 3.0 und 3.1 Sicherheitsupdates zur Behebung der Schwachstelle zur Verfügung.
Version 6 (2019-04-24 18:02)
SUSE stellt für SUSE Manager Server 3.2 und Proxy 3.2 Sicherheitsupdates zur Behebung der Schwachstelle zur Verfügung.
Version 7 (2019-04-25 11:53)
SUSE veröffentlicht erneut SUSE-SU-2019:1006-1, um über das Sicherheitsupdate für SUSE Manager Server 3.2 zu informieren. In der ersten Veröffentlichung wurde der SUSE-Bug mit der ID #1070731 zu CVE-2017-7957 nicht referenziert.

Betroffene Software

Middleware
Systemsoftware

Betroffene Plattformen

Apple
Linux
Microsoft

Beschreibung:

Ein entfernter, nicht authentisierter Angreifer kann die Schwachstelle ausnutzen, um einen Denial-of-Service-Angriff gegen XStream durchzuführen.

Für Fedora 24, 25 und 26 stehen Sicherheitsupdates in Form von 'xstream-1.4.9-5'- und 'jenkins-xstream-1.4.7-11.jenkins1'-Paketen im Status 'testing' bereit.

Schwachstellen:

CVE-2017-7957

Schwachstelle in XStream ermöglicht Denial-of-Service-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.