2017-1291: gSOAP: Eine Schwachstelle ermöglicht die Ausführung beliebigen Programmcodes

Historie:

Version 1 (2017-07-26 13:03)

Neues Advisory

Version 2 (2017-08-03 11:20)

Für Fedora 25 und 26 sowie für Fedora EPEL 6 und 7 stehen die Pakete 'gsoap-2.8.30-2.fc25', 'gsoap-2.8.43-2.fc26', 'gsoap-2.7.16-5.el6' und 'gsoap-2.8.16-9.el7' als Backport-Sicherheitsupdates im Status 'testing' bereit.

Betroffene Software

Entwicklung

Betroffene Plattformen

Linux

Beschreibung:

Eine Schwachstelle in gSOAP ermöglicht es einem entfernten, nicht authentisierten Angreifer, beliebigen Programmcode zur Ausführung zu bringen oder einen Denial-of-Service (DoS)-Angriff durchzuführen. Der Angreifer muss dazu lediglich eine sehr große XML-Nachricht (> 2 GB) an einen betroffenen gSOAP-HTTP-Server senden. Die Schwachstelle ist unter dem Namen 'Devil's Ivy' bekannt und wurde im IoT-Kontext entdeckt.

Der Hersteller hat gSOAP 2.8.48 als Sicherheitsupdate zur Verfügung gestellt.

Für openSUSE Leap 42.2 und openSUSE Leap 42.3 stehen Backport-Sicherheitsupdates für gSOAP bereit.

Schwachstellen:

CVE-2017-9765

Schwachstelle in gSOAP ermöglicht Ausführung beliebigen Programmcodes

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.