NCSC Advisories

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512

   #####################################################
  ##  N C S C ~ B E V E I L I G I N G S A D V I E S  ##
 #####################################################

######################## UPDATE 1.03 #############################

Titel           : Kwetsbaarheid verholpen in OpenSLP
Advisory ID     : NCSC-2019-0938
Versie          : 1.03
Kans            : medium
CVE ID          : CVE-2017-17833, CVE-2019-5544
                  (Details over de kwetsbaarheden kunt u vinden op
                   de Mitre website: http://cve.mitre.org/cve/)
Schade          : medium
                  Denial-of-Service (DoS)
                  (Remote) code execution (Gebruikersrechten)
Uitgiftedatum   : 20191218
Toepassing      :
Versie(s)       :
Platform(s)     : Debian
                  Oracle Enterprise Linux
                  Red Hat
                  VMware ESXi

Update
   Oracle Linux heeft updates beschikbaar gesteld voor Oracle Linux 6
   en 7. Zie "Mogelijke oplossingen" voor meer informatie.

Beschrijving
   Er is een nieuwe versie van OpenSLP uitgebracht, waarin twee
   kwetsbaarheden zijn verholpen. De kwetsbaarheid met kenmerk
   CVE-2019-5544 kan door een kwaadwillende met netwerktoegang tot
   poort 427 op een ESXi-host mogelijk de heap van de OpenSLP-service
   overschrijven, wat leidt tot uitvoering van externe code.
   De kwetsbaarheid met kenmerk CVE-2017-17833 stelt een kwaadwillende
   in staat om willekeurige code uit te voeren onder de rechten van de
   gebruiker en om een Denial-of-Service te veroorzaken.

Mogelijke oplossingen
   OpenSLP heeft patches beschikbaar gesteld om de kwetsbaarheden te
   verhelpen. Meer informatie kunt u vinden op onderstaande pagina:

   CVE-2017-17833:
   https://sourceforge.net/p/openslp/mercurial/ci
      /151f07745901cbdba6e00e4889561b4083250da1/

   De onderzoekers van 360Vulcan team hebben een patch beschikbaar
   gesteld voor CVE-2019-5544:
   https://www.openwall.com/lists/oss-security/2019/12/06/1

   -= Debian =-
   Debian heeft updates van openslp-dfsg beschikbaar gesteld voor
   Debian Debian 8 (Jessie) om de kwetsbaarheden met kenmerk
   CVE-2017-17833 en CVE-2019-5544 te verhelpen. U kunt de aangepaste
   packages installeren door gebruik te maken van 'apt-get update' en
   'apt-get upgrade'. Meer informatie kunt u vinden op onderstaande
   pagina:

   https://lists.debian.org/debian-lts-announce/2019/12/msg00007.html

   -= Oracle =-
   Oracle heeft updates beschikbaar gesteld voor Oracle Linux 6 en 7. U
   kunt deze updates installeren met behulp van het commando 'yum'.
   Meer informatie over deze updates en over een eventueel handmatige
   installatie vindt u op:

   Oracle Linux 6:

   CVE-2017-17833:
   https://linux.oracle.com/errata/ELSA-2018-2308.html

   Oracle Linux 7:

   CVE-2019-5544:
   https://linux.oracle.com/errata/ELSA-2019-4240.html

   CVE-2017-17833:
   https://linux.oracle.com/errata/ELSA-2018-2240.html

   -= Red Hat =-
   Red Hat heeft updates beschikbaar gesteld voor de kwetsbaarheid met
   kenmerk CVE-2019-5544 voor Red Hat Enterprise Linux 7. U kunt deze
   updates installeren met behulp van het commando 'yum'. Meer
   informatie over deze updates en over een eventueel handmatige
   installatie vindt u op:

   https://access.redhat.com/errata/RHSA-2019:4240

   -= VMware =-
   VMware heeft updates beschikbaar gesteld om de kwetsbaarheid met
   kenmerk CVE-2019-5544 te verhelpen. Meer informatie kunt u vinden op
   onderstaande pagina:

   https://www.vmware.com/security/advisories/VMSA-2019-0022.html

Vrijwaringsverklaring
   Door gebruik van deze security advisory gaat u akkoord met de
   navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke
   zorg heeft betracht bij de samenstelling van dit beveiligingsadvies,
   kan het NCSC niet instaan voor de volledigheid, juistheid of
   (voortdurende) actualiteit van dit beveiligingsadvies. De informatie
   in dit beveiligingsadvies is uitsluitend bedoeld als algemene
   informatie voor professionele partijen. Aan de informatie in dit
   beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC
   en de Staat zijn niet aansprakelijk voor enige schade ten gevolge
   van het gebruik of de onmogelijkheid van het gebruik van dit
   beveiligingsadvies, waaronder begrepen schade ten gevolge van de
   onjuistheid of onvolledigheid van de informatie in dit
   beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht
   van toepassing. Alle geschillen in verband met en/of voortvloeiend
   uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief
   bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de
   voorzieningenrechter in kort geding.

-----BEGIN PGP SIGNATURE-----
Version: Encryption Desktop 10.4.2 (Build 502)
Charset: utf-8
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=ekt3
-----END PGP SIGNATURE-----