UPDATE: DFN-CERT-2016-0707 libxml2: Zwei Schwachstellen ermöglichen Denial-of-Service-Angriffe [Linux][SuSE][Netzwerk]

DFN-CERT portal at dfn-cert.de
Tue Jul 19 14:35:02 CEST 2016


Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
  Version 4 (19.07.2016):
    F5 Networks informiert darüber, welche Produkte und Versionen von den
    Schwachstellen betroffen sind. Unter anderem ist F5 BIG-IP Protocol
    Security Module (PSM) in den Versionen 11.4.0 - 11.4.1 und 10.2.1 - 10.2.4
    verwundbar; es stehen noch keine Sicherheitsupdates zur Verfügung.
  Version 3 (31.05.2016):
    Für openSUSE 13.2 wird ein Sicherheitsupdate veröffentlicht.
  Version 2 (13.05.2016):
    Für openSUSE Leap 42.1 stehen Sicherheitsupdates bereit.
  Version 1 (04.05.2016):
    Neues Advisory

Betroffene Software:

  LibXML2
  

Betroffene Plattformen:

  F5 Networks BIG-IP Protocol Security Module (PSM) >= 10.2.1
  F5 Networks BIG-IP Protocol Security Module (PSM) <= 10.2.4
  F5 Networks BIG-IP Protocol Security Module (PSM) >= 11.4.0
  F5 Networks BIG-IP Protocol Security Module (PSM) <= 11.4.1
  SUSE Linux Enterprise Software Development Kit  12
  SUSE Linux Enterprise Software Development Kit  12 SP1
  SuSE SUSE Linux Enterprise Software Development Kit  11 SP4
  openSUSE 13.2
  openSUSE Leap 42.1
  SUSE Linux Enterprise Desktop 12
  SUSE Linux Enterprise Desktop 12 SP1
  SUSE Linux Enterprise Server 11 SP4
  SUSE Linux Enterprise Server 12
  SUSE Linux Enterprise Server 12 SP1
  


Zwei Schwachstellen in der Programmbibliothek libxml2 ermöglichen einem
entfernten, nicht authentifizierten Angreifer Denial-of-Service-Angriffe
durchzuführen. 

Der Hersteller SUSE bietet Sicherheitsupdates für die SUSE Linux Enterprise
Produkte SDK, Server und Desktop in den Versionen 11 SP4, 12 und 12 SP1 an,
um diese Schwachstellen zu schließen.


Patch:

  SUSE Security Update SUSE-SU-2016:1204-1

  <https://www.suse.com/support/update/announcement/2016/suse-su-20161204-1.html>

Patch:

  SUSE Security Update SUSE-SU-2016:1205-1

  <https://www.suse.com/support/update/announcement/2016/suse-su-20161205-1.html>

Patch:

  openSUSE Security Update openSUSE-SU-2016:1298-1

  <https://lists.opensuse.org/opensuse-updates/2016-05/msg00055.html>

Patch:

  openSUSE Security Update openSUSE-SU-2016:1446-1

  <http://lists.opensuse.org/opensuse-updates/2016-05/msg00127.html>


CVE-2016-3705: Schwachstelle in libxml2 ermöglicht
  Denial-of-Service-Angriffe

  Die Programmbibliothek libxml2 enthält eine Schwachstelle, die
  Denial-of-Service-Angriffe ermöglicht. libxml2 begrenzt die Anzahl der
  Rekursionen, die ein XML-Dokument enthalten darf, um sich gegen
  Denial-of-Service-Angriffe der Art Entitätsexpansion (Billion Laughs) zu
  schützen. Durch einen Programmierfehler wird jedoch der zugrunde liegende
  Zähler nicht ordnungsgemäß an allen notwendigen Stellen hochgezählt. Dadurch
  können speziell präparierte XML-Dokumente den Stapelspeicher erschöpfen und
  in Folge den XML-Parser zum Absturz bringen, ohne die Rekursionsgrenze zu
  erreichen. Ein entfernter, nicht authentifizierter Angreifer kann dies
  ausnutzen, um Denial-of-Service-Zustände auszulösen. 


CVE-2016-3627: Schwachstelle in libxml2 ermöglicht
  Denial-of-Service-Angriffe

  Die Programmbibliothek libxml2 enthält eine Schwachstelle, die
  Denial-of-Service-Angriffe ermöglicht. Durch einen Programmierfehler können
  im Recovery-Modus bestimmte ungültige XML-Dokumente eine unendliche
  Rekursion in libxml2 auslösen, die den Stapelspeicher erschöpfen. Ein
  entfernter, nicht authentifizierter Angreifer kann dies ausnutzen, um
  Denial-of-Service-Zustände auszulösen. 


Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
  <https://portal.cert.dfn.de/adv/DFN-CERT-2016-0707/>

Schwachstelle CVE-2016-3627 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3627>

SUSE Security Update SUSE-SU-2016:1204-1:
  <https://www.suse.com/support/update/announcement/2016/suse-su-20161204-1.html>

SUSE Security Update SUSE-SU-2016:1205-1:
  <https://www.suse.com/support/update/announcement/2016/suse-su-20161205-1.html>

Schwachstelle CVE-2016-3705 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3705>

openSUSE Security Update openSUSE-SU-2016:1298-1:
  <https://lists.opensuse.org/opensuse-updates/2016-05/msg00055.html>

openSUSE Security Update openSUSE-SU-2016:1446-1:
  <http://lists.opensuse.org/opensuse-updates/2016-05/msg00127.html>

F5 Networks Security Advisory sol54225343:
  <http://support.f5.com/kb/en-us/solutions/public/k/54/sol54225343.html?ref=rss>


(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.
-------------- next part --------------
A non-text attachment was scrubbed...
Name: smime.p7s
Type: application/pkcs7-signature
Size: 4686 bytes
Desc: not available
URL: <https://lists.cert.uni-stuttgart.de/pipermail/security-announce/attachments/20160719/ecbaa025/attachment.bin>


More information about the Security-Announce mailing list