[Sec-cert] UPDATE: DFN-CERT-2013-2095 Qt: Schwachstelle ermöglicht einen Denial-of-Service-Angriff [Linux][Fedora][SuSE]

portal at dfn-cert.de portal at dfn-cert.de
Mo Feb 3 11:25:01 CET 2014


Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
  Version 4 (03.02.2014):
    Die Schwachstelle wurde bereits in openSUSE 13.1 per Backported Patch auf
    libqt4-4.8.5-5.9.2 behoben worden, nunmehr liegt auch
    libqt5-qtbase-5.1.1-6.7 vor.
  Version 3 (27.01.2014):
    Die Schwachstelle ist in openSUSE 13.1 per Backported Patch behoben
    worden.
  Version 2 (20.01.2014):
    openSUSE stellt nun für die Versionen 12.2 & 12.3 ebenfalls Backported
    Patches zur Verfügung.
  Version 1 (20.12.2013):
    Neues Advisory

Betroffene Software:

  Qt <= 5.1
  

Betroffene Plattformen:

  Canonical Ubuntu Linux 12.04 Lts
  Canonical Ubuntu Linux 12.10
  Canonical Ubuntu Linux 13.04
  Canonical Ubuntu Linux 13.10
  openSUSE 12.2
  openSUSE 12.3
  openSUSE 13.1
  Red Hat Fedora 18
  Red Hat Fedora 19
  Red Hat Fedora 20
  


Alle Anwendungen, die die bereitgestellte API benutzen, um XML-Objekte zu
parsen, belegen sehr viel Speicher und belasten die CPU. Hierdurch entsteht
ein Denial-of-Servie-Zustand.

Als Hinweis: Die offiziell korrigierte Version, die von Qt zur Verfügung
gestellt wird, ist Version 5.2. In den betroffenen Distributionen werden
weiterhin Versionen kleiner als 5.2 eingesetzt, wobei die Schwachstelle
trotzdem, durch einen sogenannten Backport, in den Distributionen behoben
ist. Das heißt für die Distributionen wurde der Patch auch in alte
Qt-Versionen eingepflegt, die aber nicht offiziell vom Hersteller zur
Verfügung gestellt werden.


Patch:

  Ubuntu Security Notice USN-2057-1

  <http://www.ubuntu.com/usn/usn-2057-1/>

Patch:

  Fedora Update FEDORA-2013-22847

  <https://admin.fedoraproject.org/updates/FEDORA-2013-22847/qt3-3.3.8b-54.fc20>

Patch:

  Fedora Update FEDORA-2013-22860

  <https://admin.fedoraproject.org/updates/FEDORA-2013-22860/qt-4.8.5-12.fc20>

Patch:

  Fedora Update FEDORA-2013-22883

  <https://admin.fedoraproject.org/updates/FEDORA-2013-22883/qt3-3.3.8b-54.fc19>

Patch:

  Fedora Update FEDORA-2013-22911

  <https://admin.fedoraproject.org/updates/FEDORA-2013-22911/qt-4.8.5-12.fc18>

Patch:

  Fedora Update FEDORA-2013-22890

  <https://admin.fedoraproject.org/updates/FEDORA-2013-22890/qt3-3.3.8b-54.fc18>

Patch:

  Fedora Update FEDORA-2013-22932

  <https://admin.fedoraproject.org/updates/FEDORA-2013-22932/qt-4.8.5-12.fc19>

Patch:

  openSUSE Security Update: openSUSE-SU-2014:0067-1

  <http://lists.opensuse.org/opensuse-updates/2014-01/msg00044.html>

Patch:

  openSUSE Security Update: openSUSE-SU-2014:0070-1

  <http://lists.opensuse.org/opensuse-updates/2014-01/msg00047.html>

Patch:

  openSUSE Security Update: openSUSE-SU-2014:0125-1

  <http://lists.opensuse.org/opensuse-updates/2014-01/msg00085.html>

Patch:

  openSUSE Security Update: openSUSE-SU-2014:0176-1

  <http://lists.opensuse.org/opensuse-updates/2014-01/msg00106.html>


CVE-2013-4549: Denial-of-Service durch manipulierte XML-Objekten bei Qt

  Durch die Schwachstelle werden bei der Verarbeitung von manipulierten
  XML-Objekten sehr viele Ressourcen verbraucht. Alle Anwendungen, die die
  bereitgestellte API benutzen, um XML-Objekte zu parsen, belegen sehr viel
  Speicher und belasten die CPU. Hierdurch entsteht ein
  Denial-of-Servie-Zustand.


Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
  <https://portal.cert.dfn.de/adv/DFN-CERT-2013-2095/>

Ubuntu Security Notice USN-2057-1:
  <http://www.ubuntu.com/usn/usn-2057-1/>

Schwachstelle CVE-2013-4549 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-4549>

Fedora Update FEDORA-2013-22847:
  <https://admin.fedoraproject.org/updates/FEDORA-2013-22847/qt3-3.3.8b-54.fc20>

Fedora Update FEDORA-2013-22860:
  <https://admin.fedoraproject.org/updates/FEDORA-2013-22860/qt-4.8.5-12.fc20>

Fedora Update FEDORA-2013-22883:
  <https://admin.fedoraproject.org/updates/FEDORA-2013-22883/qt3-3.3.8b-54.fc19>

Fedora Update FEDORA-2013-22911:
  <https://admin.fedoraproject.org/updates/FEDORA-2013-22911/qt-4.8.5-12.fc18>

Fedora Update FEDORA-2013-22890:
  <https://admin.fedoraproject.org/updates/FEDORA-2013-22890/qt3-3.3.8b-54.fc18>

Fedora Update FEDORA-2013-22932:
  <https://admin.fedoraproject.org/updates/FEDORA-2013-22932/qt-4.8.5-12.fc19>

openSUSE Security Update: openSUSE-SU-2014:0067-1:
  <http://lists.opensuse.org/opensuse-updates/2014-01/msg00044.html>

openSUSE Security Update: openSUSE-SU-2014:0070-1:
  <http://lists.opensuse.org/opensuse-updates/2014-01/msg00047.html>

openSUSE Security Update: openSUSE-SU-2014:0125-1:
  <http://lists.opensuse.org/opensuse-updates/2014-01/msg00085.html>

openSUSE Security Update: openSUSE-SU-2014:0176-1:
  <http://lists.opensuse.org/opensuse-updates/2014-01/msg00106.html>


(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : smime.p7s
Dateityp    : application/pkcs7-signature
Dateigröße  : 4335 bytes
Beschreibung: nicht verfügbar
URL         : <https://listserv.uni-hohenheim.de/pipermail/sec-cert/attachments/20140203/8493b72c/attachment.p7s>


Mehr Informationen über die Mailingliste Sec-cert