DFN-CERT

Advisory-Archiv

2019-0175: Avahi: Eine Schwachstelle ermöglicht u. a. einen Denial-of-Service-Angriff

Historie:

Version 1 (2019-01-28 16:40)
Neues Advisory
Version 2 (2019-01-31 16:50)
Der in der ersten Meldung zur Schwachstelle verwendete Schwachstellenbezeichner CVE-2018-1000845 ist mittlerweile als 'REJECTED' eingestuft, da es sich bei dem Problem um ein Duplikat von CVE-2017-6519 handelt (Schwachstelle CVE-2018-1000845 und Referenz hier entfernt). Canonical stellt für Ubuntu 18.10, Ubuntu 18.04 LTS, Ubuntu 16.04 LTS, Ubuntu 14.04 LTS und Ubuntu 12.04 ESM Sicherheitsupdates bereit, mit denen die Schwachstelle in 'avahi' behoben wird.
Version 3 (2019-02-04 17:16)
Für openSUSE Leap 42.3 steht ein Sicherheitsupdate für das Paket 'avahi' bereit.
Version 4 (2019-02-08 11:02)
Für die SUSE Linux Enterprise Module für Basesystem, Desktop Applications, Open Buildservice Development Tools und Packagehub Subpackages 15 stehen Sicherheitsupdates zur Behebung der Schwachstelle in 'avahi' bereit. Im Sicherheitshinweis von SUSE wird fälschlicherweise der Schwachstellenbezeichner CVE-2018-1000845 aufgeführt, der als Duplikat von CVE-2017-6519 gilt und daher nicht verwendet werden soll.
Version 5 (2019-02-11 10:59)
Für die SUSE Linux Enterprise Produkte Desktop und Server 11 SP4 sowie für SUSE Linux Enterprise Debuginfo 11 SP4 stehen Sicherheitsupdates zur Behebung der Schwachstelle in 'avahi' bereit. Im Sicherheitshinweis von SUSE wird erneut fälschlicherweise der Schwachstellenbezeichner CVE-2018-1000845 aufgeführt, der als Duplikat von CVE-2017-6519 gilt und daher nicht verwendet werden soll.
Version 6 (2019-02-18 18:03)
Für openSUSE Leap 15.0 stehen Sicherheitsupdates zur Behebung der Schwachstelle in 'avahi' bereit. Im Sicherheitshinweis des Herstellers wird erneut fälschlicherweise der Schwachstellenbezeichner CVE-2018-1000845 aufgeführt, der als Duplikat von CVE-2017-6519 gilt und daher nicht verwendet werden soll.
Version 7 (2020-04-01 18:26)
Für die Red Hat Enterprise Linux Produkte Server, Workstation und Desktop 7 sowie für Red Hat Enterprise Linux for Scientific Computing 7 stehen Sicherheitsupdates zur Behebung der Schwachstelle in 'avahi' bereit. Diese Updates werden im Zusammenhang mit der Veröffentlichung von Red Hat Enterprise Linux 7.8 zur Verfügung gestellt.
Version 8 (2020-04-09 11:39)
Für Oracle Linux 7 (aarch64, x86_64) stehen Sicherheitsupdates für 'avahi' zur Behebung der referenzierten Schwachstelle zur Verfügung.

Betroffene Software

Netzwerk
Systemsoftware

Betroffene Plattformen

Linux
Oracle

Beschreibung:

Ein entfernter Angreifer kann die Schwachstelle für einen Denial-of-Service (DoS)-Angriff oder zum Ausspähen sensitiver Informationen über UDP (Port 5353) ausnutzen. Ein erfolgreicher Angriff kann Einfluss auf andere Komponenten betroffener Systeme haben.

Für die SUSE Linux Enterprise Produkte Desktop, Server, Software Development Kit und Workstation Extension in den Versionen 12 SP3 und 12 SP4 stehen Sicherheitsupdates zur Behebung der Schwachstelle bereit.

Schwachstellen:

CVE-2017-6519

Schwachstelle in Avahi ermöglicht u. a. Denial-of-Service-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.