-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512

  #####################################################
 ## N C S C ~ B E V E I L I G I N G S A D V I E S ##
 #####################################################

######################## UPDATE 1.07 #############################

Titel      : Kwetsbaarheden verholpen in Linux kernel (SACK PANIC)
Advisory ID   : NCSC-2019-0486
Versie     : 1.07
Kans      : medium
CVE ID     : CVE-2019-11477, CVE-2019-11478, CVE-2019-11479
         (Details over de kwetsbaarheden kunt u vinden op
          de Mitre website: http://cve.mitre.org/cve/)
Schade     : high
         Denial-of-Service (DoS)
Uitgiftedatum  : 20190709
Toepassing   : Palo Alto pan-os
         RedHat Red Hat Virtualization
         VMware NSX
         VMware vCenter Server
         VMware vRealize
         VMware vSphere
         Vmware Horizon View
         Citrix Hypervisor
         Citrix XenServer
Versie(s)    :
Platform(s)   : CentOS
         Debian
         Fedora
         OpenSUSE
         Oracle Enterprise Linux
         Red Hat
         SUSE
         Ubuntu

Update
  Citrix heeft updates beschikbaar gesteld voor Xen. Zie "Mogelijke
  oplossingen" voor meer informatie.

Beschrijving
  Netflix heeft een aantal kwetsbaarheden ge´dentificeerd in de
  Linux-kernel. Een kwaadwillende kan de kwetsbaarheden mogelijk
  misbruiken om een Denial-of-Service te veroorzaken.

  De kwetsbaarheden hebben betrekking op de "minimum segment size"
  (MMS) en TCP Selective Acknowledgement (SACK) mogelijkheden. De
  meest ernstige van deze kwetsbaarheden, genaamd "SACK Panic", maakt
  het mogelijk om op afstand een kernel panic te veroorzaken waardoor
  er een Denial-of-Service (DoS) ontstaat.

Mogelijke oplossingen
  De onderzoekers hebben naast het beschikbaar maken van patches ook
  een aantal workarounds gepubliceerd.

  Het is mogelijk om de SACK-verwerking uit te schakelen. Dit kan door
  /proc/sys/net/ipv4/tcp_sack op 0 te zetten.

  Daarnaast kan men filters toepassen om verbindingen die gebruik
  maken van een lage MMS waarde te blokkeren. Zie voor meer
  informatie:

  https://github.com/Netflix/security-bulletins/blob/master/advisories
   /third-party/2019-001.md

  -= CentOS =-
  CentOS heeft updates beschikbaar gesteld voor CentOS 6 en 7 om de
  kwetsbaarheden te verhelpen. CentOS heeft ook updates beschikbaar
  gesteld om de kwetsbaarheid met kenmerk CVE-2019-3896 te verhelpen.
  U kunt deze updates installeren met behulp van het commando 'yum'.
  Voor meer informatie en een eventueel handmatige installatie, zie:

  CentOS 6:
  https://lists.centos.org/pipermail/centos-announce/2019-June
   /023332.html

  CentOS 7:
  https://lists.centos.org/pipermail/centos-announce/2019-June
   /023333.html

  -= Citrix =-
  Citrix heeft updates uitgebracht om de kwetsbaarheden te verhelpen
  met kenmerk CVE-2019-11477 en CVE-2019-11478 in meerdere Citrix
  producten. Voor meer informatie, zie:

  https://support.citrix.com/article/CTX256725

  -= Debian =-
  Debian heeft updates beschikbaar gesteld voor Debian 9.0 (Stretch)
  om de kwetsbaarheden te verhelpen. U kunt de aangepaste packages
  installeren door gebruik te maken van 'apt-get update' en 'apt-get
  upgrade'. Meer informatie kunt u vinden op onderstaande pagina:

  https://www.debian.org/security/2019/dsa-4465

  -= Fedora =-
  Fedora heeft updates beschikbaar gesteld voor Fedora 29 en 30. U
  kunt deze updates installeren met behulp van het commando 'dnf' of
  'yum'. Meer informatie over deze updates en over een eventueel
  handmatige installatie vindt u op:

  Fedora 29:
  https://lists.fedoraproject.org/archives/list
   /package-announce@lists.fedoraproject.org/thread
   /A5NF2FRGIHTIJXMXNVRVHZFMIPJWF2XF/

  Fedora 30:
  https://lists.fedoraproject.org/archives/list
   /package-announce@lists.fedoraproject.org/thread
   /Q4XUPJ5UKLTJTEEMFJKHMT6YHU72NMX3/

  -= OpenSUSE =-
  De ontwikkelaars van OpenSUSE hebben updates beschikbaar gesteld om
  de kwetsbaarheden te verhelpen in OpenSUSE Leap 42.3. U kunt deze
  aangepaste packages installeren door gebruik te maken van 'zypper'.
  U kunt ook gebruik maken van YAST of de updates handmatig downloaden
  van de OpenSUSE downloadserver (download.opensuse.org). Voor meer
  informatie, zie:

  https://lists.opensuse.org/opensuse-security-announce/2019-06
   /msg00039.html

  -= Oracle =-
  Oracle heeft updates beschikbaar gesteld voor Oracle Linux 5, 6 en
  7. U kunt deze updates installeren met behulp van het commando
  'yum'. Meer informatie over deze updates en over een eventueel
  handmatige installatie vindt u op:

  https://linux.oracle.com/errata/ELSA-2019-4684.html
  https://linux.oracle.com/errata/ELSA-2019-4685.html
  https://linux.oracle.com/errata/ELSA-2019-4686.html
  https://linux.oracle.com/errata/ELSA-2019-4689.html

  -= PAN-OS =-
  Palo Alto heeft updates beschikbaar gesteld om de kwetsbaarheden te
  verhelpen. Dit beveiligingsadvies voegt de kwetsbaarheid met kenmerk
  CVE-2019-5599 toe. Meer informatie kunt u vinden op onderstaande
  pagina:

  https://securityadvisories.paloaltonetworks.com/Home/Detail/151

  -= Red Hat =-
  Red Hat heeft updates beschikbaar gesteld voor Red Hat Enterprise
  Linux 6, 7 en 8 en virtualisation-host. U kunt deze updates
  installeren met behulp van het commando 'yum'. Meer informatie over
  deze updates en over een eventueel handmatige installatie vindt u
  op:

  Red Hat Enterprise Linux 8:
  https://access.redhat.com/errata/RHSA-2019:1479

  Red Hat Enterprise Linux 7:
  https://access.redhat.com/errata/RHSA-2019:1481
  https://access.redhat.com/errata/RHSA-2019:1484

  Red Hat Enterprise Linux 6:
  https://access.redhat.com/errata/RHSA-2019:1488

  Redhat-virtualization-host:
  https://access.redhat.com/errata/RHSA-2019:1594

  -= SUSE =-
  SUSE heeft updates beschikbaar gesteld om de kwetsbaarheden te
  verhelpen in SUSE 12 en 15. U kunt deze aangepaste packages
  installeren door gebruik te maken van 'YaST'. U kunt de packages ook
  handmatig downloaden van de SUSE FTP-server (ftp.suse.com). Voor
  meer informatie, zie:

  https://www.suse.com/de-de/support/kb/doc/?id=7023928

  -= Ubuntu =-
  Canonical heeft updates beschikbaar gesteld voor Ubuntu 16.04 LTS,
  18.04 LTS, 18.10 en 19.04 om de kwetsbaarheden te verhelpen. U kunt
  de aangepaste packages installeren door gebruik te maken van
  'apt-get update' en 'apt-get upgrade'. Meer informatie kunt u vinden
  op onderstaande pagina:

  https://usn.ubuntu.com/4017-1/

  De updates in het bovenstaand beveilligingsadvies hebben een nieuwe
  kwetsbaarheid veroorzaakt, die nu is verholpen voor Ubuntu 16.04
  LTS, 18.04 LTS, 18.10 en 19.04. Zie voor meer informatie:

  https://usn.ubuntu.com/4041-1/

  -= VMware =-
  VMware heeft updates uitgebracht om de kwetsbaarheden te verhelpen
  met kenmerk CVE-2019-11477 en CVE-2019-11478 in meerdere VMware
  producten. Voor meer informatie, zie:

  https://www.vmware.com/security/advisories/VMSA-2019-0010.html

Vrijwaringsverklaring
  Door gebruik van deze security advisory gaat u akkoord met de
  navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke
  zorg heeft betracht bij de samenstelling van dit beveiligingsadvies,
  kan het NCSC niet instaan voor de volledigheid, juistheid of
  (voortdurende) actualiteit van dit beveiligingsadvies. De informatie
  in dit beveiligingsadvies is uitsluitend bedoeld als algemene
  informatie voor professionele partijen. Aan de informatie in dit
  beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC
  en de Staat zijn niet aansprakelijk voor enige schade ten gevolge
  van het gebruik of de onmogelijkheid van het gebruik van dit
  beveiligingsadvies, waaronder begrepen schade ten gevolge van de
  onjuistheid of onvolledigheid van de informatie in dit
  beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht
  van toepassing. Alle geschillen in verband met en/of voortvloeiend
  uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief
  bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de
  voorzieningenrechter in kort geding.

-----BEGIN PGP SIGNATURE-----
Version: Encryption Desktop 10.4.2 (Build 502)
Charset: utf-8
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=YlY6
-----END PGP SIGNATURE-----