2017-0786: libtirpc, rpcbind: Eine Schwachstelle ermöglicht einen Denial-of-Service-Angriff

Historie:

Version 1 (2017-05-09 15:57)

Neues Advisory

Version 2 (2017-05-12 19:42)

Für Fedora 25 und 26 stehen Sicherheitsupdates für 'rpcbind' bereit. Das Sicherheitsupdate für Fedora 25 befindet sich im Status 'testing', während dasjenige für Fedora 26 noch im Status 'pending' ist.

Version 3 (2017-05-16 15:57)

Für Fedora 25 und 26 stehen neue Sicherheitsupdates für 'rpcbind' bereit. Die in den bisherigen Sicherheitsupdates veröffentlichte Version von 'rpcbind' stürzt bei der gleichzeitigen Verwendung von 'ypbind' ab. Das neue Sicherheitsupdate für Fedora 26 befindet sich im Status 'testing', während dasjenige für Fedora 25 noch im Status 'pending' ist.

Version 4 (2017-05-17 11:47)

Für die SUSE Linux Enterprise Produkte Software Development Kit, Server und Desktop in den Varianten 12 SP1 und 12 SP2 sowie für Server for Raspberry Pi 12 SP2 stehen aktualisierte 'libtirpc'-Pakete als Sicherheitsupdates bereit.

Version 5 (2017-05-19 11:30)

Für Fedora 25 und 26 stehen die Pakete 'libtirpc-1.0.1-4.rc3.fc25' und 'libtirpc-1.0.1-4.rc3.fc26' als Sicherheitsupdates im Status 'testing' bereit.

Version 6 (2017-05-19 12:03)

SUSE veröffentlicht für die SUSE Linux Enterprise Produkte Server und Desktop in den Versionen 12 SP1 und 12 SP2 sowie für SUSE Linux Enterprise Server for Raspberry Pi 12 SP2 Sicherheitsupdates für rpcbind, um die Schwachstelle zu beheben.

Version 7 (2017-05-22 11:19)

Für die Red Hat Enterprise Linux 7 Produktvarianten Desktop, HPC Node, Server und Workstation sowie Server TUS (v. 7.3) stehen Sicherheitsupdates für libtirpc und rpcbind zur Behebung der Schwachstelle zur Verfügung.

Version 8 (2017-05-23 11:50)

Für die Red Hat Enterprise Linux 6 Produktvarianten Desktop, HPC Node, Server und Workstation stehen Sicherheitsupdates für 'libtirpc' und 'rpcbind' zur Behebung der Schwachstelle zur Verfügung.

Version 9 (2017-05-23 14:34)

Für Oracle Linux 7 (x86_64) stehen Sicherheitsupdates für 'rpcbind' und 'libtirpc' zur Verfügung.

Version 10 (2017-05-24 11:06)

Für die Distribution openSUSE Leap 42.2 steht ein Sicherheitsupdate für 'libtirpc' zur Behebung der Schwachstelle zur Verfügung.

Version 11 (2017-05-24 14:30)

Für Oracle Linux 6 (i386, x86_64) stehen Sicherheitsupdates für ' rpcbind' und 'libtirpc' zur Behebung der Schwachstelle zur Verfügung.

Version 12 (2017-05-26 14:11)

Für Oracle VM 3.3 und 3.4 stehen Sicherheitsupdates für ' rpcbind' und 'libtirpc' zur Behebung der Schwachstelle zur Verfügung.

Version 13 (2017-05-26 16:30)

Für openSUSE Leap 42.2 steht jetzt auch ein Sicherheitsupdate für 'rpcbind' zur Verfügung.

Version 14 (2017-06-01 11:35)

Für die SUSE Linux Enterprise Produkte Server 11 SP3 LTSS und 11 SP4 sowie Debuginfo 11 SP3 und 11 SP4 stehen Sicherheitsupdates für 'rpcbind' und 'libtirpc' zur Verfügung. Für SUSE Linux Enterprise Software Development Kit 11 SP4 wird ein Sicherheitsupdate für 'libtirpc' bereitgestellt.

Version 15 (2017-06-06 14:09)

Red Hat stellt ein Sicherheitsupdate für 'libntirpc' für Red Hat Gluster Storage 3.2 für RHEL 6 und Red Hat Gluster Storage 3.2 für RHEL 7 bereit, um diese Schwachstelle zu beheben. Dieses Paket beinhaltet eine neue Implementierung der originalen 'libtirpc' (transport-independent RPC (TI-RPC) library for NFS-Ganesha).

Version 16 (2017-07-05 11:42)

Red Hat Ceph Storage steht nun in der Version 2.3 zur Verfügung. In dieser Version wird auch die Schwachstelle CVE-2017-8779 behoben.

Version 17 (2018-03-02 10:54)

Oracle veröffentlicht für Oracle VM 3.4 das Bug Fix Update OVMBA-2018-0019 mit dem rpcbind auf die Version 0.2.0-13_9.1aktualisiert wird. Bereits mit der Version 0.2.0-13_9 (OVMSA-2017-0107) wurde die referenzierte Schwachstelle adressiert, die in dem jetzt veröffentlichten Bug Fix Update allerdings erneut in der Sektion 'Beschreibung der Änderungen' aufgeführt wird.

Version 18 (2021-06-09 16:49)

Canonical stellt für Ubuntu 18.04 LTS ein Sicherheitsupdate für 'rpcbind' bereit, um die Schwachstelle zu beheben.

Version 19 (2021-06-10 10:00)

Für Ubuntu 14.04 ESM und Ubuntu 16.04 ESM stehen jetzt ebenfalls Sicherheitsupdates für 'rpcbind' zur Behebung der Schwachstelle zur Verfügung.

Version 20 (2021-06-11 08:55)

Mit USN-4986-1 und USN-4986-2 wurden bei der Behebung der Schwachstelle jeweils für Ubuntu 18.04 LTS bzw. Ubuntu 14.04 ESM und Ubuntu 16.04 ESM Regressionen eingeführt, wodurch 'rpcbind' in bestimmten Umgebungen abstürzt. Canonical behebt diese Regressionen für Ubuntu 18.04 LTS bzw. Ubuntu 14.04 ESM und Ubuntu 16.04 ESM mit weiteren Updates.

Betroffene Software

Server

Betroffene Plattformen

Linux
Oracle

Beschreibung:

Ein entfernter, nicht authentisierter Angreifer kann eine Schwachstelle in rpcbind und weiteren Bibliotheken wie libtirpc und dessen Abspaltung libntirpc ausnutzen, um ein Speicherleck von bis zu 4 GB pro Angriff zu erzeugen und in der Folge den gesamten Speicher des Systems zu erschöpfen (Denial-of-Service). Die Schwachstelle kann möglicherweise für weitere Angriffe im Kontext anderer Anwendungen ausgenutzt werden und ist unter dem Namen 'rpcbomb' bekannt.

Der Hersteller der Software hat bisher nicht auf die Veröffentlichung eines Exploits reagiert, es stehen aber bereits durch den Entdecker der Schwachstelle erstellte Patches für rpcbind und libtirpc zur Verfügung.

Debian stellt für die stabile Distribution Debian Jessie und die folgende stabile Distribution Debian Stretch Sicherheitsupdates für libtirpc und rpcbind bereit.

Schwachstellen:

CVE-2017-8779

Schwachstelle in libtirpc ermöglicht Denial-of-Service-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.