Open Source im professionellen Einsatz

UPDATE: DFN-CERT-2017-0750 FreeType: Zwei Schwachstellen ermöglichen u.a. die Ausführung beliebigen Programmcodes [Linux][Fedora][Unix][OpenBSD]

19.05.2017

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 4 (19.05.2017):
OpenBSD informiert über die Schwachstellen in OpenBSD 6.0 und OpenBSD 6.1
und stellt zwei unabhängige Patches als Sicherheitsupdates bereit.
Version 3 (18.05.2017):
Canonical veröffentlicht nun ebenfalls für die Distribution Ubuntu 12.04
LTS ein Sicherheitsupdat für FreeType, um die beiden Schwachstellen zu
beheben.
Version 2 (10.05.2017):
Canonical veröffentlicht für die Distributionen Ubuntu 14.04 LTS, Ubuntu
16.04 LTS, Ubuntu 16.10 und Ubuntu 17.04 Sicherheitsupdates für FreeType,
um die beiden Schwachstellen zu adressieren.
Version 1 (03.05.2017):
Neues Advisory

Betroffene Software:

FreeType


Betroffene Plattformen:

Canonical Ubuntu Linux 12.04 LTS
Canonical Ubuntu Linux 14.04 LTS
Canonical Ubuntu Linux 16.04 LTS
Canonical Ubuntu Linux 16.10
Canonical Ubuntu Linux 17.04
OpenBSD 6.0
OpenBSD 6.1
Red Hat Fedora 24
Red Hat Fedora 25
Red Hat Fedora 26



Zwei Schwachstellen in FreeType ermöglichen einem entfernten, nicht
authentisierten Angreifer die Durchführung von Denial-of-Service
(DoS)-Angriffen sowie die Ausführung beliebigen Programmcodes.

Für Fedora 24, 25 und 26 stehen Sicherheitsupdates in Form der Pakete
'freetype-2.6.3-5.fc24', 'freetype-2.6.5-7.fc25' und 'freetype-2.7.1-6.fc26'
bereit, wobei sich das Sicherheitsupdate für Fedora 24 im Status 'testing'
und die anderen im Status 'pending' befinden.


Patch:

Fedora Security Update FEDORA-2017-5760b80676 (Fedora 25, freetype-2.6.5-7)

<https://bodhi.fedoraproject.org/updates/FEDORA-2017-5760b80676>

Patch:

Fedora Security Update FEDORA-2017-71b9a2ef5f (Fedora 26, freetype-2.7.1-6)

<https://bodhi.fedoraproject.org/updates/FEDORA-2017-71b9a2ef5f>

Patch:

Fedora Security Update FEDORA-2017-950cc68400 (Fedora 24, freetype-2.6.3-5)

<https://bodhi.fedoraproject.org/updates/FEDORA-2017-950cc68400>

Patch:

Ubuntu Security Notice USN-3282-1

<http://www.ubuntu.com/usn/usn-3282-1/>

Patch:

Ubuntu Security Notice USN-3282-2

<http://www.ubuntu.com/usn/usn-3282-2/>

Patch:

OpenBSD 6.0 Errata 023 - 023_freetype.patch.sig

<https://ftp.openbsd.org/pub/OpenBSD/patches/6.0/common/023_freetype.patch.sig>

Patch:

OpenBSD 6.1 Errata 007 - 007_freetype.patch.sig

<https://ftp.openbsd.org/pub/OpenBSD/patches/6.1/common/007_freetype.patch.sig>


CVE-2017-8287: Schwachstelle in FreeType ermöglicht Ausführung beliebigen
Programmcodes

In der Funktion 't1_builder_close_contour' in FreeType 2 vor Version
2017-03-26 besteht eine Schwachstelle, mittels der es möglich ist den
Heap-basierten Pufferspeicher zum Überlauf zu bringen und darüber
Schreibzugriffe außerhalb der zulässigen Speichergrenzen durchzuführen
(Out-of-Bounds Write). Ein entfernter, nicht authentisierter Angreifer kann
diese Schwachstelle mit einer bösartig präparierten Schriftart ausnutzen und
einen Denial-of-Service-Angriff durchführen oder beliebigen Programmcode zur
Ausführung bringen.


CVE-2017-8105: Schwachstelle in FreeType ermöglicht Ausführung beliebigen
Programmcodes

In der Funktion 't1_decoder_parse_charstrings' in FreeType 2 vor Version
2017-03-24 besteht eine Schwachstelle, mittels der es möglich ist den
Heap-basierten Pufferspeicher zum Überlauf zu bringen und darüber
Schreibzugriffe außerhalb der zulässigen Speichergrenzen durchzuführen
(Out-of-Bounds Write). Ein entfernter, nicht authentisierter Angreifer kann
diese Schwachstelle mit einer bösartig präparierten Schriftart ausnutzen und
einen Denial-of-Service (DoS)-Angriff durchführen oder beliebigen
Programmcode zur Ausführung bringen.


Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
<https://portal.cert.dfn.de/adv/DFN-CERT-2017-0750/>

Schwachstelle CVE-2017-8105 (NVD):
<http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-8105>

Schwachstelle CVE-2017-8287 (NVD):
<http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-8287>

Fedora Security Update FEDORA-2017-5760b80676 (Fedora 25, freetype-2.6.5-7):
<https://bodhi.fedoraproject.org/updates/FEDORA-2017-5760b80676>

Fedora Security Update FEDORA-2017-71b9a2ef5f (Fedora 26, freetype-2.7.1-6):
<https://bodhi.fedoraproject.org/updates/FEDORA-2017-71b9a2ef5f>

Fedora Security Update FEDORA-2017-950cc68400 (Fedora 24, freetype-2.6.3-5):
<https://bodhi.fedoraproject.org/updates/FEDORA-2017-950cc68400>

Ubuntu Security Notice USN-3282-1:
<http://www.ubuntu.com/usn/usn-3282-1/>

Ubuntu Security Notice USN-3282-2:
<http://www.ubuntu.com/usn/usn-3282-2/>

OpenBSD 6.0 Errata 023 - 023_freetype.patch.sig:
<https://ftp.openbsd.org/pub/OpenBSD/patches/6.0/common/023_freetype.patch.sig>

OpenBSD 6.1 Errata 007 - 007_freetype.patch.sig:
<https://ftp.openbsd.org/pub/OpenBSD/patches/6.1/common/007_freetype.patch.sig>

The FreeType 2 library Commit 2017-03-24 09:15:10:
<http://git.savannah.gnu.org/cgit/freetype/freetype2.git/commit/?id=f958c48ee431bef8d4d466b40c9cb2d4dbcb7791>

The FreeType 2 library Commit 2017-03-26 08:32:09:
<http://git.savannah.gnu.org/cgit/freetype/freetype2.git/commit/?id=3774fc08b502c3e685afca098b6e8a195aded6a0>


(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

Ausgabe 08/2017

Digitale Ausgabe: Preis € 6,40
(inkl. 19% MwSt.)

Artikelserien und interessante Workshops aus dem Magazin können Sie hier als Bundle erwerben.