DFN-CERT

Advisory-Archiv

2017-0910: Libtasn1: Eine Schwachstelle ermöglicht einen Denial-of-Service-Angriff und die Ausführung beliebigen Programmcodes

Historie:

Version 1 (2017-05-26 15:04)
Neues Advisory
Version 2 (2017-05-30 16:31)
Für Fedora 25 und 26 steht Libtasn1 in der Version 4.12 als Sicherheitsupdate bereit. Das Sicherheitsupdate für Fedora 25 befindet sich im Status 'pending' befindet, das Sicherheitsupdate für Fedora 26 im Status 'testing'.
Version 3 (2017-05-31 11:38)
Für Fedora 26 und Fedora EPEL 7 stehen Sicherheitsupdates in Form der Pakete 'mingw-libtasn1-4.12-1.f26' und 'mingw-libtasn1-4.12-1.el7' im Status 'testing' bereit. Das Sicherheitsupdate für Fedora EPEL 7 adressiert zusätzlich die Denial-of-Service-Schwachstellen CVE-2016-4008 und CVE-2015-3622.
Version 4 (2017-06-06 11:44)
Canonical veröffentlicht Sicherheitsupdates zur Behebung der Schwachstelle für Ubuntu 17.04, Ubuntu 16.10, Ubuntu 16.04 LTS und Ubuntu 14.04 LTS.
Version 5 (2017-07-19 11:15)
Canonical stellt jetzt auch für die Distribution Ubuntu 12.04 LTS ein Sicherheitsupdate zur Behebung der Schwachstelle bereit.

Betroffene Software

Sicherheit
Systemsoftware

Betroffene Plattformen

Linux

Beschreibung:

Ein entfernter, nicht authentisierter Angreifer kann eine Schwachstelle in Libtasn1 ausnutzen, indem er einen Benutzer der Anwendung zur Verarbeitung speziell präparierter Zuweisungsdateien (Assignment Files) verleitet. Dadurch kann ein Denial-of-Service-Zustand ausgelöst und möglicherweise beliebiger Programmcode ausgeführt werden.

Der Hersteller stellt einen Patch für die Schwachstelle bereit und kündigt an, das Problem mit Version 4.11 der Software zu beheben. Eine abschließende Liste verwundbarer Versionen existiert noch nicht, die Schwachstelle wurde bisher nur für Libtasn1 4.10 bestätigt.

Debian stellt für die stabile Distribution Debian Jessie ein Backport-Sicherheitsupdate für 'libtasn1-6' bereit.

Schwachstellen:

CVE-2017-6891

Schwachstelle in Libtasn1 ermöglicht u. a. Denial-of-Service-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.