[Sec-cert] DFN-CERT-2013-1240 Schwachstelle in GnuTLS [Linux][SuSE]

portal at dfn-cert.de portal at dfn-cert.de
Fr Jul 5 10:24:26 CEST 2013


Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

  Paket GnuTLS

Betroffene Plattformen:

  SUSE Linux Enterprise Software Development Kit 11 SP3
  SUSE Linux Enterprise Server 11 SP3 für VMware
  SUSE Linux Enterprise Server 11 SP3
  SUSE Linux Enterprise High Availability Extension 11 SP3
  SUSE Linux Enterprise Desktop 11 SP3


Eine Schwachstelle in GnuTLS ermöglicht einem entfernten Angreifer einen
Denial-of-Service-Angriff durchzuführen.


Software Upgrade:

  Der Hersteller stellt Updates zur Behebung der Schwachstelle bereit.

  <http://download.novell.com/index.jsp>


CVE-2013-2116: Schwachstelle in GnuTLS

  In GnuTLS existiert ein Fehler in der Funktion
  _gnutls_ciphertext2compressed(), der zu einem Zugriff auf Speicher außerhalb
  der Puffergrenzen (out-of-bound) führt, da der zurückgegebene Wert für die
  Padding-Bytes nicht mit der Länge des Chiffretext verglichen wird. Einem
  entfernten Angreifer ist es dadurch möglich, den GnuTLS-Dienst zum Absturz
  zu bringen.


Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
  <https://portal.cert.dfn.de/adv/DFN-CERT-2013-1240/>

Das Hersteller Advisory:
  <http://lists.opensuse.org/opensuse-security-announce>

Schwachstelle CVE-2013-2116:
  <http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-2116>


(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : smime.p7s
Dateityp    : application/pkcs7-signature
Dateigröße  : 4335 bytes
Beschreibung: nicht verfügbar
URL         : <https://listserv.uni-hohenheim.de/pipermail/sec-cert/attachments/20130705/db97ea51/attachment.p7s>


Mehr Informationen über die Mailingliste Sec-cert