Bundesamt für Sicherheit in der Informationstechnik

CB-K17/0776 Update 3

Risikostufe 3

Titel:libtirpc, rpcbind: Eine Schwachstelle ermöglicht einen Denial-of-Service-AngriffDatum:19.05.2017Software:rpcbind, libtirpcPlattform:SUSE Linux Enterprise Software Development Kit 12 SP1, SUSE Linux Enterprise Software Development Kit 12 SP2, Debian Linux 8.8 Jessie, Debian Linux 9.0 Stretch, GNU/Linux, SUSE Linux Enterprise Desktop 12 SP1, SUSE Linux Enterprise Desktop 12 SP2, SUSE Linux Enterprise Server 12 SP1, SUSE Linux Enterprise Server 12 SP2, SUSE Linux Enterprise Server 12 SP2 for Raspberry Pi, Red Hat Fedora 25, Red Hat Fedora 26Auswirkung:Denial-of-ServiceRemoteangriff:JaRisiko:mittelCVE Liste:CVE-2017-8779Bezug: Patches für 'rpcbomb' vom Entdecker der Schwachstelle

Beschreibung

'rpcbind' ist ein RPC Mapping Server, welcher dazu dient, RPC Programm-Nummern in universelle Adressen zu konvertieren.

libtirpc is eine transportunabhängige RPC-Bibliothek für Linux.

Ein entfernter, nicht authentisierter Angreifer kann eine Schwachstelle in rpcbind und weiteren Bibliotheken wie libtirpc und dessen Abspaltung libntirpc ausnutzen, um ein Speicherleck von bis zu 4 GB pro Angriff zu erzeugen und in der Folge den gesamten Speicher des Systems zu erschöpfen (Denial-of-Service). Die Schwachstelle kann möglicherweise für weitere Angriffe im Kontext anderer Anwendungen ausgenutzt werden und ist unter dem Namen 'rpcbomb' bekannt. Der Hersteller der Software hat bisher nicht auf die Veröffentlichung eines Exploits reagiert, es stehen aber bereits durch den Entdecker der Schwachstelle erstellte Patches für rpcbind und libtirpc zur Verfügung. Debian stellt für die stabile Distribution Debian Jessie und die folgende stabile Distribution Debian Stretch Sicherheitsupdates für libtirpc und rpcbind bereit.

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK