2019-1926: nbdkit: Eine Schwachstelle ermöglicht einen Denial-of-Service-Angriff

Historie:

Version 1 (2019-09-13 17:44)

Neues Advisory

Version 2 (2019-09-25 16:12)

Durch das Sicherheitsupdate wurde eine weitere Denial-of-Service (DoS)-Schwachstelle eingeführt. Clients können Informationen über einen Export anfragen bevor sie ihn benutzen. Durch den Bugfix wurde der '.open()'-Callback soweit verzögert, dass nun über die gleiche Verbindung ein doppeltes Öffnen durchgeführt wird und das zweite Öffnen aufgrund eines Zusicherungsfehlers (Assertion) fehlschlägt, da das erste Öffnen keinen passenden '.close()'-Callback besitzt. Dies kann sich ein bösartiger Client zu nutze machen, indem er Informationen zu einem Export anfragt, wodurch der Versuch eines anderen Clients, diesen Export zu öffnen, aufgrund des dann stattfindenden Zusicherungsfehlers fehlschlägt. Für Fedora 29, 30 und 31 stehen Sicherheitsupdates in Form der Pakete 'nbdkit-1.12.8-1.fc29', 'nbdkit-1.12.8-1.fc30' und 'nbdkit-1.14.2-1.fc31' im Status 'testing' bereit.

Betroffene Software

Server

Betroffene Plattformen

Linux

Beschreibung:

Ein entfernter, nicht authentisierter Angreifer kann die Schwachstelle ausnutzen, um einen Denial-of-Service (DoS)-Angriff durchzuführen.

Für Fedora 29, 30 und 31 stehen Sicherheitsupdates in Form der Pakete 'nbdkit-1.12.7-1' und 'nbdkit-1.14.1-1' im Status 'testing' bereit, um die Schwachstelle zu beheben.

Schwachstellen:

NBDKIT-1-14-1-A

Schwachstelle in nbdkit ermöglicht Denial-of-Service-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.