Meerdere kwetsbaarheden verholpen in libssh

Er bevinden zich meerdere kwetsbaarheden in libssh. De ontwikkelaars van libssh hebben updates uitgebracht om de kwetsbaarheden te verhelpen.

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

   #####################################################
  ##  N C S C ~ B E V E I L I G I N G S A D V I E S  ##
 #####################################################

######################## UPDATE 1.04 #############################

Titel           : Meerdere kwetsbaarheden verholpen in libssh
Advisory ID     : NCSC-2016-0185
Versie          : 1.04
Kans            : medium
CVE ID          : CVE-2014-8132, CVE-2015-3146, CVE-2016-0739
                  (http://cve.mitre.org/cve/)
Schade          : high
                  Denial-of-Service (DoS)
                  Toegang tot gevoelige gegevens
Uitgiftedatum   : 20160928
Toepassing      : libssh
                  F5 BIG-IP (BigIP)
Versie(s)       : 
Platform(s)     : Ubuntu
                  Debian
                  Fedora
                  Red Hat

Update
   F5 heeft voor de kwetsbaarheid met CVE ID: CVE-2016-0739 updates
   beschikbaar gesteld voor BIG-IP AFM (Advanced Firewall Manager). Zie
   "Mogelijke oplossingen" voor meer informatie.

Samenvatting
   Er bevinden zich meerdere kwetsbaarheden in libssh. De ontwikkelaars
   van libssh hebben updates uitgebracht om de kwetsbaarheden te
   verhelpen.

Gevolgen
   Een kwaadwillende op afstand kan de kwetsbaarheden mogelijk
   misbruiken om een Denial-of-Service te veroorzaken, of voor het
   verkrijgen van gevoelige informatie.

Beschrijving
   - CVE-2016-0739
   Er bevindt zich een kwetsbaarheid in libssh waardoor er geheime
   sleutels met een lengte van 128 bits gebruikt worden, in plaats van
   de aangeraden lengte van 1028 of 2048 bits, bij het gebruik van de
   diffie-hellman-group1- en de diffie-hellman-group14-functies.
   Middels een Man-in-the-Middle aanval kan een kwaadwillende de
   kwetsbaarheid mogelijk misbruiken om gevoelige informatie te
   verkrijgen.
   
   - CVE-2015-3146, CVE-2014-8132
   Er bevinden zich kwetsbaarheden in libssh in de verwerking van
   specifieke packets. Een kwaadwillende op afstand kan de
   kwetsbaarheid mogelijk misbruiken om een Denial-of-Service uit te
   voeren op de applicatie.

Mogelijke oplossingen
   -= Debian =-
   Debian heeft updates van libssh beschikbaar gesteld voor Debian 7.0
   (Wheezy) en Debian 8.0 (Jessie) om de kwetsbaarheden te verhelpen. U
   kunt de aangepaste packages installeren door gebruik te maken van
   'apt-get update' en 'apt-get upgrade'. Meer informatie kunt u vinden
   op onderstaande pagina:
   
   https://www.debian.org/security/2016/dsa-3488
   
   -= F5 =-
   F5 heeft updates uitgebracht voor BIG-IP Advanced Firewall Manager,
   versie 12.1.0 - 12.1.1, om de kwetsbaarheid met CVE-ID CVE-2016-0739
   te verhelpen. Voor meer informatie, zie:
      
   CVE-2016-0739:
   https://support.f5.com/kb/en-us/solutions/public/k/57
      /sol57255643.html?ref=rss
   
   -= Fedora =-
   Fedora heeft updates beschikbaar gesteld voor Fedora 22 en 23 om de
   kwetsbaarheid met CVE-ID CVE-2016-0739 te verhelpen. U kunt deze
   updates installeren met behulp van het commando 'dnf' of 'yum'. Meer
   informatie over deze updates en over een eventueel handmatige
   installatie vindt u op:
   
   Fedora 22:
   http://permalink.gmane.org
      /gmane.linux.redhat.fedora.package.announce/178482
   
   Fedora 23:
   https://lists.fedoraproject.org/pipermail/package-announce
      /2016-February/178058.html
   
   -= Red Hat =-
   Red Hat heeft updates beschikbaar gesteld voor Red Hat Enterprise
   Linux 7 om de kwetsbaarheid met CVE-ID CVE-2016-0739 te verhelpen. U
   kunt deze updates installeren met behulp van het commando 'yum'.
   Meer informatie over deze updates en over een eventueel handmatige
   installatie vindt u op:
   
   https://rhn.redhat.com/errata/RHSA-2016-0566.html
   
   -= Ubuntu =-
   Ubuntu heeft updates beschikbaar gesteld voor Ubuntu 12.04 LTS,
   14.04 LTS en 15.10 om de kwetsbaarheden met CVE-ID CVE-2015-3146 en
   CVE-2016-0739 te verhelpen. U kunt de aangepaste packages
   installeren door gebruik te maken van 'apt-get update' en 'apt-get
   upgrade'. Meer informatie kunt u vinden op onderstaande pagina:
   
   http://www.ubuntu.com/usn/usn-2912-1/

Vrijwaringsverklaring
   Door gebruik van deze security advisory gaat u akkoord met de
   navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke
   zorg heeft betracht bij de samenstelling van dit beveiligingsadvies,
   kan het NCSC niet instaan voor de volledigheid, juistheid of
   (voortdurende) actualiteit van dit beveiligingsadvies. De informatie
   in dit beveiligingsadvies is uitsluitend bedoeld als algemene
   informatie voor professionele partijen. Aan de informatie in dit
   beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC
   en de Staat zijn niet aansprakelijk voor enige schade ten gevolge
   van het gebruik of de onmogelijkheid van het gebruik van dit 
   beveiligingsadvies, waaronder begrepen schade ten gevolge van de 
   onjuistheid of onvolledigheid van de informatie in dit
   beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht
   van toepassing. Alle geschillen in verband met en/of voortvloeiend
   uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief
   bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de
   voorzieningenrechter in kort geding.


-----BEGIN PGP SIGNATURE-----
Version: Encryption Desktop 10.3.2 (Build 16620)
Charset: utf-8
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=U5i5
-----END PGP SIGNATURE-----

Wat is het NCSC?

CSBN 2018

Nederland digitaal veilig