DFN-CERT Portal

Schwachstellen

DFN-CERT-2017-1347: GNU Libtasn1: Zwei Schwachstellen ermöglichen u.a. Denial-of-Service-Angriffe

Historie

Version 1 (2017-08-02 14:12)
Neues Advisory
Version 2 (2017-08-08 18:15)
Oracle stellt für Oracle Linux 7 (x86_64) 'libtasn1' in der Version 4.10 als Sicherheitsupdate bereit. Beginnend mit diesem Update befindet sich 'libtasn1' für Oracle Linux 7 auf dem Versionszweig 4.x.
Version 3 (2017-11-09 16:53)
Die beiden Schwachstellen in Libtasn1 betreffen auch den IBM Security Access Manager 9.0.3.0 und werden dort mit einem Update auf Version 9.0.3.1 der Systemsoftware behoben.

Betroffene Software

Libtasn1 < 4.5
IBM Security Access Manager < 9.0.3.1

Betroffene Plattformen

IBM Security Access Manager Appliance
Oracle Linux 7
Red Hat Enterprise Linux for Scientific Computing 7
Red Hat Enterprise Linux Desktop 7
Red Hat Enterprise Linux Server 7
Red Hat Enterprise Linux Server for ARM 7
Red Hat Enterprise Linux Workstation 7

Lösung

Patch

Red Hat Security Advisory RHSA-2017:1860

Patch

Oracle-Linux-ELSA-2017-1860

Patch

IBM Security Bulletin 2010224: IBM Security Access Manager appliances are affected by vulnerabilities in libtasn1 (CVE-2015-2806, CVE-2015-3622)

Beschreibung

Zwei Schwachstellen in GNU Libtasn1 ermöglichen einem entfernten, nicht authentisierten Angreifer die Durchführung verschiedener Denial-of-Service-Angriffe, das Ausspähen von Informationen und weitere, nicht spezifizierte Angriffe.

Red Hat stellt für verschiedene Red Hat Enterprise Linux 7 Releases der Bereiche Client, ComputeNode, Server und Workstation Sicherheitsupdates für 'libtasn1' bereit. Mit den im Rahmen des Releases von Red Hat Enterprise Linux 7.4 veröffentlichten Updates wird 'libtasn1' auf Version 4.10 aktualisiert.

Schwachstellen

CVE-2015-3622: Schwachstelle in Libtasn1 ermöglicht Denial-of-Service-Angriff

Eine Schwachstelle in der Funktion "_asn1_extract_der_octet()" der Bibliothek Libtasn1 führt zu einer fehlerbehafteten Entschlüsselung von DER-kodierten Eingaben. Durch die Verarbeitung von präparierten DER-Eingaben kommt es zu einem Lesen außerhalb der Begrenzungen ("out-of-bounds heap read"). Ein entfernter, nicht authentifizierter Angreifer kann einen Denial-of-Service-Angriff durchführen.

CVE-2015-2806: Schwachstelle in Libtasn1 und GnuTLS ermöglicht u.a. Denial-of-Service-Angriff

In Libtasn1 und dem diese Bibliothek nutzenden GnuTLS existiert eine zwei Byte Stacküberlauf-Schwachstelle in der 'asn1_der_decoding'-Funktion. Ein entfernter, nicht authentisierter Angreifer kann diese Schwachstelle nutzen, um Informationen auszuspähen, einen Denial-of-Service-Zustand zu bewirken oder weitere nicht näher spezifizierte Angriffe durchzuführen.

Referenzen

© DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf des schriftlichen Einverständnisses des Rechteinhabers.