Kurzinfo CB-K16/0241

2 Risiko: niedrig
Information zu Schwachstellen und Sicherheitslücken
Titel: Nghttp2: Eine Schwachstelle ermöglicht einen Denial-of-Service-Angriff
Datum: 12.02.2016
Software: Nghttp2 <= 1.7.0
Plattform: Red Hat Fedora 22, Red Hat Fedora 23, Extra Packages for Red Hat Enterprise Linux 7
Auswirkung: Denial-of-Service
Remoteangriff: Ja
Risiko: niedrig
CVE Liste: CVE-2016-1544
Bezug: Fedora Security Update FEDORA-2016-3d9efe44d8 (Fedora 22)
Beschreibung

Die C-Bibliothek Nghttp2 ist eine Implementierung des HTTP/2 Standards und der Datenkompression HPACK, die auch Header-Daten umfasst.

Durch die Verwendung von HPACK zur Komprimierung von Kopfdaten in einen sehr kleinen Speicherbereich ist es möglich, mit Hilfe speziell präparierter HTTP-Anfragen den Speicher für Kopfdaten zu erschöpfen. Ein entfernter, nicht authentifizierter Angreifer kann einen Denial-of-Service-Angriff ausführen. Der Hersteller informiert über die Schwachstelle und stellt die Programmversion Nghttp2 1.7.1 als Sicherheitsupdate zur Verfügung. Für die Distributionen Fedora 22 und 23 sowie Fedora EPEL 7 stehen Sicherheitsupdates auf die Version 1.7.1 im Status 'pending' bereit.

  1. Fedora Security Update FEDORA-2016-3d9efe44d8 (Fedora 22)

  2. Fedora Security Update FEDORA-2016-ac861a840e (Fedora 23)

  3. Fedora Security Update FEDORA-EPEL-2016-bc557a5441 (Fedora EPEL 7)

  4. Nghttp2 v1.7.1 Release Notes

  5. Schwachstelle CVE-2016-1544 (NVD)

CERT-Bund bietet personalisierte Warn- und Informationsdienste an.
Bitte registrieren Sie sich, um diese Angebote nutzen zu können.