[Sec-cert] UPDATE: DFN-CERT-2013-2095 Qt: Schwachstelle ermöglicht einen Denial-of-Service-Angriff [Linux][Fedora][SuSE]

portal at dfn-cert.de portal at dfn-cert.de
Mo Feb 24 17:15:02 CET 2014


Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
  Version 5 (24.02.2014):
    Der Hersteller stellt nun auch Patches für SUSE Linux Enterprise 11 SP3
    zur Verfügung mit Backported Patch libqt4-4.6.3-5.29.2.
  Version 4 (03.02.2014):
    Die Schwachstelle wurde bereits in openSUSE 13.1 per Backported Patch auf
    libqt4-4.8.5-5.9.2 behoben worden, nunmehr liegt auch
    libqt5-qtbase-5.1.1-6.7 vor.
  Version 3 (27.01.2014):
    Die Schwachstelle ist in openSUSE 13.1 per Backported Patch behoben
    worden.
  Version 2 (20.01.2014):
    openSUSE stellt nun für die Versionen 12.2 & 12.3 ebenfalls Backported
    Patches zur Verfügung.
  Version 1 (20.12.2013):
    Neues Advisory

Betroffene Software:

  Qt <= 5.1
  

Betroffene Plattformen:

  Novell SUSE Software Development Kit  11 SP3 Enterprise
  Canonical Ubuntu Linux 12.04 Lts
  Canonical Ubuntu Linux 12.10
  Canonical Ubuntu Linux 13.04
  Canonical Ubuntu Linux 13.10
  openSUSE 12.2
  openSUSE 12.3
  openSUSE 13.1
  Novell SUSE Linux Enterprise Desktop 11 SP3
  Novell SUSE Linux Enterprise Server 11 SP3
  Novell SUSE Linux Enterprise Server 11 SP3 VMware
  Red Hat Fedora 18
  Red Hat Fedora 19
  Red Hat Fedora 20
  


Alle Anwendungen, die die bereitgestellte API benutzen, um XML-Objekte zu
parsen, belegen sehr viel Speicher und belasten die CPU. Hierdurch entsteht
ein Denial-of-Servie-Zustand.

Als Hinweis: Die offiziell korrigierte Version, die von Qt zur Verfügung
gestellt wird, ist Version 5.2. In den betroffenen Distributionen werden
weiterhin Versionen kleiner als 5.2 eingesetzt, wobei die Schwachstelle
trotzdem, durch einen sogenannten Backport, in den Distributionen behoben
ist. Das heißt für die Distributionen wurde der Patch auch in alte
Qt-Versionen eingepflegt, die aber nicht offiziell vom Hersteller zur
Verfügung gestellt werden.


Patch:

  Ubuntu Security Notice USN-2057-1

  <http://www.ubuntu.com/usn/usn-2057-1/>

Patch:

  Fedora Update FEDORA-2013-22847

  <https://admin.fedoraproject.org/updates/FEDORA-2013-22847/qt3-3.3.8b-54.fc20>

Patch:

  Fedora Update FEDORA-2013-22860

  <https://admin.fedoraproject.org/updates/FEDORA-2013-22860/qt-4.8.5-12.fc20>

Patch:

  Fedora Update FEDORA-2013-22883

  <https://admin.fedoraproject.org/updates/FEDORA-2013-22883/qt3-3.3.8b-54.fc19>

Patch:

  Fedora Update FEDORA-2013-22911

  <https://admin.fedoraproject.org/updates/FEDORA-2013-22911/qt-4.8.5-12.fc18>

Patch:

  Fedora Update FEDORA-2013-22890

  <https://admin.fedoraproject.org/updates/FEDORA-2013-22890/qt3-3.3.8b-54.fc18>

Patch:

  Fedora Update FEDORA-2013-22932

  <https://admin.fedoraproject.org/updates/FEDORA-2013-22932/qt-4.8.5-12.fc19>

Patch:

  openSUSE Security Update: openSUSE-SU-2014:0067-1

  <http://lists.opensuse.org/opensuse-updates/2014-01/msg00044.html>

Patch:

  openSUSE Security Update: openSUSE-SU-2014:0070-1

  <http://lists.opensuse.org/opensuse-updates/2014-01/msg00047.html>

Patch:

  openSUSE Security Update: openSUSE-SU-2014:0125-1

  <http://lists.opensuse.org/opensuse-updates/2014-01/msg00085.html>

Patch:

  openSUSE Security Update: openSUSE-SU-2014:0176-1

  <http://lists.opensuse.org/opensuse-updates/2014-01/msg00106.html>

Patch:

  SUSE Security Update SUSE-SU-2014:0265-1 

  <https://www.suse.com/support/update/announcement/2014/suse-su-20140265-1.html>


CVE-2013-4549: Denial-of-Service durch manipulierte XML-Objekten bei Qt

  Durch die Schwachstelle werden bei der Verarbeitung von manipulierten
  XML-Objekten sehr viele Ressourcen verbraucht. Alle Anwendungen, die die
  bereitgestellte API benutzen, um XML-Objekte zu parsen, belegen sehr viel
  Speicher und belasten die CPU. Hierdurch entsteht ein
  Denial-of-Servie-Zustand.


Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
  <https://portal.cert.dfn.de/adv/DFN-CERT-2013-2095/>

Ubuntu Security Notice USN-2057-1:
  <http://www.ubuntu.com/usn/usn-2057-1/>

Schwachstelle CVE-2013-4549 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-4549>

Fedora Update FEDORA-2013-22847:
  <https://admin.fedoraproject.org/updates/FEDORA-2013-22847/qt3-3.3.8b-54.fc20>

Fedora Update FEDORA-2013-22860:
  <https://admin.fedoraproject.org/updates/FEDORA-2013-22860/qt-4.8.5-12.fc20>

Fedora Update FEDORA-2013-22883:
  <https://admin.fedoraproject.org/updates/FEDORA-2013-22883/qt3-3.3.8b-54.fc19>

Fedora Update FEDORA-2013-22911:
  <https://admin.fedoraproject.org/updates/FEDORA-2013-22911/qt-4.8.5-12.fc18>

Fedora Update FEDORA-2013-22890:
  <https://admin.fedoraproject.org/updates/FEDORA-2013-22890/qt3-3.3.8b-54.fc18>

Fedora Update FEDORA-2013-22932:
  <https://admin.fedoraproject.org/updates/FEDORA-2013-22932/qt-4.8.5-12.fc19>

openSUSE Security Update: openSUSE-SU-2014:0067-1:
  <http://lists.opensuse.org/opensuse-updates/2014-01/msg00044.html>

openSUSE Security Update: openSUSE-SU-2014:0070-1:
  <http://lists.opensuse.org/opensuse-updates/2014-01/msg00047.html>

openSUSE Security Update: openSUSE-SU-2014:0125-1:
  <http://lists.opensuse.org/opensuse-updates/2014-01/msg00085.html>

openSUSE Security Update: openSUSE-SU-2014:0176-1:
  <http://lists.opensuse.org/opensuse-updates/2014-01/msg00106.html>

SUSE Security Update SUSE-SU-2014:0265-1 :
  <https://www.suse.com/support/update/announcement/2014/suse-su-20140265-1.html>


(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : smime.p7s
Dateityp    : application/pkcs7-signature
Dateigröße  : 4335 bytes
Beschreibung: nicht verfügbar
URL         : <https://listserv.uni-hohenheim.de/pipermail/sec-cert/attachments/20140224/ef91e645/attachment.p7s>


Mehr Informationen über die Mailingliste Sec-cert