Kurzinfo CB-K17/1353

3 Risiko: mittel
Information zu Schwachstellen und Sicherheitslücken
Titel: GNOME LibSoup: Eine Schwachstelle ermöglicht einen Denial-of-Service-Angriff und die Ausführung beliebigen Programmcodes
Datum: 11.08.2017
Software: GNOME LibSoup 2.58
Plattform: SUSE Linux Enterprise Software Development Kit 12 SP2, SUSE Linux Enterprise Software Development Kit 12 SP3, SUSE OpenStack Cloud 6, Canonical Ubuntu Linux 14.04 LTS, Canonical Ubuntu Linux 16.04 LTS, Canonical Ubuntu Linux 17.04, Debian Linux 8.9 Jessie, Debian Linux 9.1 Stretch, SUSE Linux Enterprise Desktop 12 SP2, SUSE Linux Enterprise Desktop 12 SP3, SUSE Linux Enterprise Server 12 LTSS, SUSE Linux Enterprise Server for SAP 12, SUSE Linux Enterprise Server 12 SP1 LTSS, SUSE Linux Enterprise Server for SAP 12 SP1, SUSE Linux Enterprise Server 12 SP2, SUSE Linux Enterprise Server 12 SP2 for Raspberry Pi, SUSE Linux Enterprise Server 12 SP3, Oracle Linux 7, Red Hat Enterprise Linux for Scientific Computing 7, Red Hat Enterprise Linux 7.4 EUS Compute Node, Red Hat Enterprise Linux Desktop 7, Red Hat Enterprise Linux Server 7, Red Hat Enterprise Linux Server for ARM 7, Red Hat Enterprise Linux Server 7.4 AUS, Red Hat Enterprise Linux Server 7.4 EUS, Red Hat Enterprise Linux Server 7.4 TUS, Red Hat Enterprise Linux Workstation 7, Red Hat Fedora 25, Red Hat Fedora 26, Extra Packages for Red Hat Enterprise Linux 7
Auswirkung: Ausführen beliebigen Programmcodes
Remoteangriff: Ja
Risiko: mittel
CVE Liste: CVE-2017-2885
Bezug: Red Hat Security Advisory RHSA-2017:2459
Revisions Historie
  • Version: 1

    Neues Advisory

Beschreibung

LibSoup ist eine HTTP Client/Server-Bibliothek für GNOME.

Ein entfernter, nicht authentisierter Angreifer kann eine Schwachstelle in der LibSoup-Bibliothek mit Hilfe einer speziell präparierten HTTP-Anfrage ausnutzen, die er an einen HTTP-Server versendet oder indem er einen Benutzer dazu verleitet sich über eine Anwendung, welche die LibSoup HTTP-Client Funktionalität verwendet, mit einem bösartigen HTTP-Server zu verbinden. Dies ermöglicht es dem Angreifer einen Stack-basierten Pufferspeicherüberlauf zu provozieren (Stack based Buffer Overflow), in dessen Folge ein Denial-of-Service-Zustand herbeigeführt oder beliebiger Programmcode zur Ausführung gebracht werden kann. Red Hat stellt für Red Hat Enterprise Linux Server 7, for ARM 7, 7.4 AUS, 7.4 EUS und 7.4 TUS, Workstation 7, Desktop 7, for Scientific Computing 7 sowie EUS Compute Node 7.4 Sicherheitsupdates für 'libsoup' bereit. Red Hat weist zudem darauf hin, dass die 'libsoup'-Pakete, welche mit Red Hat Enterprise Linux 7 ausgeliefert werden, über einen Schutz gegen 'Stack Smashing' verfügen und die Schwachstelle daher in den meisten Fällen auf einen Denial-of-Service-Angriff begrenzt ist. Für Fedora 25 und 26 sowie für Fedora EPEL 7 stehen die Pakete 'libsoup-2.56.1-1.fc25', 'libsoup-2.58.2-1.fc26', 'mingw-libsoup-2.56.1-1.fc25', 'mingw-libsoup-2.58.2-1.fc26' und 'mingw-libsoup-2.56.1-1.el7' als Sicherheitsupdates im Status 'pending' bereit. Debian veröffentlicht für die Distributionen Jessie (oldstable) und Stretch (stable) Sicherheitsupdates. Oracle stellt für Oracle Linux 7 (x86_64) ein Sicherheitsupdate zur Verfügung. Und Canonical behebt die Schwachstelle für die Distributionen Ubuntu 17.04, Ubuntu 16.04 LTS und Ubuntu 14.04 LTS. Für die SUSE Linux Enterprise Produktvarianten Server 12 LTSS, 12 SP1 LTSS, 12 SP2 und 12 SP3, Server for SAP 12 und 12 SP1, Server for Raspberry Pi 12 SP2, Desktop 12 SP2 und 12 SP3, Software Development Kit 12 SP2 und 12 SP3 sowie SUSE OpenStack Cloud 6 stehen ebenfalls Sicherheitsupdates für 'libsoup' bereit.

  1. Debian Security Advisory DSA-3929-1

  2. Fedora Security Update FEDORA-2017-1f4c82d73e (Fedora 26, mingw-libsoup-2.58.2-1)

  3. Fedora Security Update FEDORA-2017-872a0a9a85 (Fedora 25, libsoup-2.56.1-1)

  4. Fedora Security Update FEDORA-2017-b0ec173bd1 (Fedora 26, libsoup-2.58.2-1)

  5. Fedora Security Update FEDORA-2017-c9d8011d69 (Fedora 25, mingw-libsoup-2.56.1-1)

  6. Fedora Security Update FEDORA-EPEL-2017-b69fde3111 (Fedora EPEL 7, mingw-libsoup-2.56.1-1)

  7. Oracle Linux Security Advisory ELSA-2017-2459

  8. Red Hat Security Advisory RHSA-2017:2459

  9. SUSE Security Update SUSE-SU-2017:2129-1

  10. SUSE Security Update SUSE-SU-2017:2130-1

  11. Ubuntu Security Notice USN-3383-1

  12. Schwachstelle CVE-2017-2885 (NVD)

CERT-Bund bietet personalisierte Warn- und Informationsdienste an.
Bitte registrieren Sie sich, um diese Angebote nutzen zu können.