Kwetsbaarheid verholpen in ASN1C

Er is een kwetsbaarheid verholpen in ASN1C van Objective Systems. Het NCSC verwacht voor verschillende producten updates om deze kwetsbaarheid te verhelpen.

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

   #####################################################
  ##  N C S C ~ B E V E I L I G I N G S A D V I E S  ##
 #####################################################

Titel           : Kwetsbaarheid verholpen in ASN1C
Advisory ID     : NCSC-2016-0650
Versie          : 1.00
Kans            : medium
CVE ID          : CVE-2016-5080
                  (http://cve.mitre.org/cve/)
Schade          : medium
                  Remote code execution (Gebruikersrechten)
Uitgiftedatum   : 20160719
Toepassing      : Objective Systems ASN1C
Versie(s)       : <7.0.2
Platform(s)     : 

Samenvatting
   Er is een kwetsbaarheid verholpen in ASN1C van Objective Systems.
   Het NCSC verwacht voor verschillende producten updates om deze
   kwetsbaarheid te verhelpen.

Gevolgen
   De door ASN1C gegenereerde code bevat in sommige gevallen een
   heap-overflow-kwetsbaarheid die mogelijk misbruikt kan worden voor
   het uitvoeren van willekeurige code.

Beschrijving
   Er is een kwetsbaarheid verholpen in ASN1C van Objective Systems.
   Deze ASN.1-compiler wordt gebruikt om op basis van een
   ASN.1-beschrijving code te genereren. De gegeneerde code, een
   zogenaamde ASN.1-parser, wordt vervolgens gebruikt in applicaties om
   gegevens in ASN.1-formaat te verwerken. De door ASN1C gegenereerde
   code bevat in sommige gevallen een heap-overflow-kwetsbaarheid die
   mogelijk misbruikt kan worden voor het uitvoeren van willekeurige
   code.
   
   Voor meer informatie zie:
   
   https://github.com/programa-stic/security-advisories/tree/master
      /ObjSys/CVE-2016-5080
   
   Leveranciers van verschillende soorten producten maken gebruik van
   deze compiler en zullen de komende tijd waarschijnlijk updates van
   hun producten beschikbaar stellen. Het NCSC beschikt niet over een
   overzicht van producten waarin code uit deze compiler wordt
   gebruikt. Wanneer het NCSC op de hoogte is van beschikbaar gestelde
   updates, dan zal dit beveiligingsadvies worden aangevuld.

Mogelijke oplossingen
   Als uw organisatie zelf applicaties of systemen ontwikkelt waarin
   ASN.1 wordt gebruikt en bij de ontwikkeling daarvan ASN1C van
   Objective Systems gebruikt, dan bevatten deze applicaties en
   systemen mogelijk de heap-overflow-kwetsbaarheid. Objective Systems
   heeft de kwetsbaarheid opgelost in versie 7.0.2 van ASN1C. Voor meer
   informatie zie:
   
   http://obj-sys.com/support/change-log-asn1c-7.0.php

Vrijwaringsverklaring
   Door gebruik van deze security advisory gaat u akkoord met de
   navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke
   zorg heeft betracht bij de samenstelling van dit beveiligingsadvies,
   kan het NCSC niet instaan voor de volledigheid, juistheid of
   (voortdurende) actualiteit van dit beveiligingsadvies. De informatie
   in dit beveiligingsadvies is uitsluitend bedoeld als algemene
   informatie voor professionele partijen. Aan de informatie in dit
   beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC
   en de Staat zijn niet aansprakelijk voor enige schade ten gevolge
   van het gebruik of de onmogelijkheid van het gebruik van dit 
   beveiligingsadvies, waaronder begrepen schade ten gevolge van de 
   onjuistheid of onvolledigheid van de informatie in dit
   beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht
   van toepassing. Alle geschillen in verband met en/of voortvloeiend
   uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief
   bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de
   voorzieningenrechter in kort geding.


-----BEGIN PGP SIGNATURE-----
Version: Encryption Desktop 10.3.2 (Build 16620)
Charset: utf-8
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=H2CA
-----END PGP SIGNATURE-----

Wat is het NCSC?

CSBN 2018

Nederland digitaal veilig