DFN-CERT

Advisory-Archiv

2017-1413: GNOME LibSoup: Eine Schwachstelle ermöglicht einen Denial-of-Service-Angriff und die Ausführung beliebigen Programmcodes

Historie:

Version 1 (2017-08-11 14:41)
Neues Advisory
Version 2 (2017-08-14 12:12)
Für openSUSE Leap 42.3 und openSUSE Leap 42.2 stehen Sicherheitsupdates für 'libsoup' bereit, um die Schwachstelle zu beheben.

Betroffene Software

Netzwerk
Systemsoftware

Betroffene Plattformen

Netzwerk
Cloud
Linux
Oracle

Beschreibung:

Ein entfernter, nicht authentisierter Angreifer kann eine Schwachstelle in der LibSoup-Bibliothek mit Hilfe einer speziell präparierten HTTP-Anfrage ausnutzen, die er an einen HTTP-Server versendet oder indem er einen Benutzer dazu verleitet sich über eine Anwendung, welche die LibSoup HTTP-Client Funktionalität verwendet, mit einem bösartigen HTTP-Server zu verbinden. Dies ermöglicht es dem Angreifer einen Stack-basierten Pufferspeicherüberlauf zu provozieren (Stack based Buffer Overflow), in dessen Folge ein Denial-of-Service-Zustand herbeigeführt oder beliebiger Programmcode zur Ausführung gebracht werden kann.

Red Hat stellt für Red Hat Enterprise Linux Server 7, for ARM 7, 7.4 AUS, 7.4 EUS und 7.4 TUS, Workstation 7, Desktop 7, for Scientific Computing 7 sowie EUS Compute Node 7.4 Sicherheitsupdates für 'libsoup' bereit. Red Hat weist zudem darauf hin, dass die 'libsoup'-Pakete, welche mit Red Hat Enterprise Linux 7 ausgeliefert werden, über einen Schutz gegen 'Stack Smashing' verfügen und die Schwachstelle daher in den meisten Fällen auf einen Denial-of-Service-Angriff begrenzt ist.

Für Fedora 25 und 26 sowie für Fedora EPEL 7 stehen die Pakete 'libsoup-2.56.1-1.fc25', 'libsoup-2.58.2-1.fc26', 'mingw-libsoup-2.56.1-1.fc25', 'mingw-libsoup-2.58.2-1.fc26' und 'mingw-libsoup-2.56.1-1.el7' als Sicherheitsupdates im Status 'pending' bereit.

Debian veröffentlicht für die Distributionen Jessie (oldstable) und Stretch (stable) Sicherheitsupdates. Oracle stellt für Oracle Linux 7 (x86_64) ein Sicherheitsupdate zur Verfügung. Und Canonical behebt die Schwachstelle für die Distributionen Ubuntu 17.04, Ubuntu 16.04 LTS und Ubuntu 14.04 LTS.

Für die SUSE Linux Enterprise Produktvarianten Server 12 LTSS, 12 SP1 LTSS, 12 SP2 und 12 SP3, Server for SAP 12 und 12 SP1, Server for Raspberry Pi 12 SP2, Desktop 12 SP2 und 12 SP3, Software Development Kit 12 SP2 und 12 SP3 sowie SUSE OpenStack Cloud 6 stehen ebenfalls Sicherheitsupdates für 'libsoup' bereit.

Schwachstellen:

CVE-2017-2885

Schwachstelle in GNOME LibSoup ermöglicht Ausführung beliebigen Programmcodes

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.