[Sec-cert] UPDATE: DFN-CERT-2013-1888 Red Hat Enterprise Linux: Eine Schwachstelle ermöglicht das Ausführen beliebigen Programmcodes [Linux][RedHat]

portal at dfn-cert.de portal at dfn-cert.de
Di Feb 11 13:15:02 CET 2014


Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
  Version 2 (11.02.2014):
    Es stehen Patches für Red Hat Satellite für RHEL 5 zur Verfügung.
    
  Version 1 (05.11.2013):
    Neues Advisory

Betroffene Software:

  Boehm-Demers-Weiser Garbage Collector <= 7.1
  

Betroffene Plattformen:

  Red Hat Enterprise Linux 5
  Red Hat Enterprise Linux 6
  


Eine Schwachstelle im Garbage-Collector ermöglicht einem entfernten, nicht
authentifizierten Angreifer einen Denial-of-Service-Angriff durchzuführen
oder beliebigen Befehle auszuführen.


Patch:

  Schwachstelle CVE-2012-2673 (RedHat)

  <https://www.redhat.com/security/data/cve/CVE-2012-2673.html>

Patch:

  Red Hat Security Advisory RHSA-2013-1500

  <http://rhn.redhat.com/errata/RHSA-2013-1500.html>

Patch:

  Red Hat Security Advisory RHSA-2014:0149-1

  <http://rhn.redhat.com/errata/RHSA-2014-0149.html>

Patch:

  Red Hat Security Advisory RHSA-2014:0150-1

  <http://rhn.redhat.com/errata/RHSA-2014-0150.html>


CVE-2012-2673: Schwachstelle in Garbage-Collector 

  In der Implementierung von malloc() und calloc() im Garbage-Collector
  existiert eine Schwachstelle durch die Art, wie übergebene Parameter geprüft
  werden. Falls in der Anwendung, die gc verwendet, nicht diese Prüfungen
  explizit vorgenommen werden, ist es einem entfernten Angreifer möglich,
  durch speziell präparierte Eingabedateien für die Anwendung, diese zum
  Absturz zu bringen oder Code zur Ausführung zu bringen.


CVE-2012-2673: Schwachstelle in Garbage-Collector 

  In der Implementierung von malloc() und calloc() im Garbage-Collector
  existiert eine Schwachstelle durch die Art, wie übergebene Parameter geprüft
  werden. Falls in der Anwendung, die gc verwendet, nicht diese Prüfungen
  explizit vorgenommen werden, ist es einem entfernten Angreifer möglich,
  durch speziell präparierte Eingabedateien für die Anwendung, diese zum
  Absturz zu bringen oder Code zur Ausführung zu bringen.


Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
  <https://portal.cert.dfn.de/adv/DFN-CERT-2013-1888/>

Schwachstelle CVE-2012-2673 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2012-2673>

Schwachstelle CVE-2012-2673 (RedHat):
  <https://www.redhat.com/security/data/cve/CVE-2012-2673.html>

Red Hat Security Advisory RHSA-2013-1500:
  <http://rhn.redhat.com/errata/RHSA-2013-1500.html>

Red Hat Security Advisory RHSA-2014:0149-1:
  <http://rhn.redhat.com/errata/RHSA-2014-0149.html>

Red Hat Security Advisory RHSA-2014:0150-1:
  <http://rhn.redhat.com/errata/RHSA-2014-0150.html>


(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : smime.p7s
Dateityp    : application/pkcs7-signature
Dateigröße  : 4335 bytes
Beschreibung: nicht verfügbar
URL         : <https://listserv.uni-hohenheim.de/pipermail/sec-cert/attachments/20140211/e939cf45/attachment.p7s>


Mehr Informationen über die Mailingliste Sec-cert