Open Source im professionellen Einsatz

UPDATE: DFN-CERT-2017-1218 Evince: Eine Schwachstelle ermöglicht die Ausführung beliebigen Programmcodes [Linux][Fedora]

14.07.2017

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 2 (14.07.2017):
Canonical stellt für Ubuntu Linux 14.04 LTS, 16.04 LTS, 16.10 und 17.04
Sicherheitsupdates für Evince zur Verfügung.
Version 1 (14.07.2017):
Neues Advisory

Betroffene Software:

Evince


Betroffene Plattformen:

Canonical Ubuntu Linux 14.04 LTS
Canonical Ubuntu Linux 16.04 LTS
Canonical Ubuntu Linux 16.10
Canonical Ubuntu Linux 17.04
Red Hat Fedora 24
Red Hat Fedora 25
Red Hat Fedora 26



Ein entfernter, nicht authentisierter Angreifer kann mit Hilfe einer
speziell präparierten CBT-Datei beliebigen Programmcode im Kontext von
Evince ausführen, wenn er einen Benutzer der Anwendung dazu verleiten kann,
diese Datei mit Evince oder verwandten Programmen wie 'evince-thumbnailer'
zu öffnen.

Für Fedora 24, 25 und 26 stehen Sicherheitsupdates für Evince in Form der
Pakete 'evince-3.20.1-3.fc24', 'evince-3.22.1-5.fc25' und
'evince-3.24.0-3.fc26' im Status 'testing' bereit.


Patch:

Fedora Security Update FEDORA-2017-06c1422db8 (evince-3.20.1-3.fc24)

<https://bodhi.fedoraproject.org/updates/FEDORA-2017-06c1422db8>

Patch:

Fedora Security Update FEDORA-2017-0f75ee2f38 (evince-3.24.0-3.fc26)

<https://bodhi.fedoraproject.org/updates/FEDORA-2017-0f75ee2f38>

Patch:

Fedora Security Update FEDORA-2017-cdead07e99 (evince-3.22.1-5.fc25)

<https://bodhi.fedoraproject.org/updates/FEDORA-2017-cdead07e99>

Patch:

Ubuntu Security Notice USN-3351-1

<http://www.ubuntu.com/usn/usn-3351-1/>


CVE-2017-1000083: Schwachstelle in Evince ermöglicht Ausführung beliebigen
Programmcodes

Der für das Entpacken bestimmter Comicbuchdateien (Comic Book Tar, CBT)
verwendete Kommandozeilenbefehl wird vor dem Aufruf nicht ausreichend
bereinigt.


Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
<https://portal.cert.dfn.de/adv/DFN-CERT-2017-1218/>

Fedora Security Update FEDORA-2017-06c1422db8 (evince-3.20.1-3.fc24):
<https://bodhi.fedoraproject.org/updates/FEDORA-2017-06c1422db8>

Fedora Security Update FEDORA-2017-0f75ee2f38 (evince-3.24.0-3.fc26):
<https://bodhi.fedoraproject.org/updates/FEDORA-2017-0f75ee2f38>

Fedora Security Update FEDORA-2017-cdead07e99 (evince-3.22.1-5.fc25):
<https://bodhi.fedoraproject.org/updates/FEDORA-2017-cdead07e99>

RedHat Bug ID 1468488:
<https://bugzilla.redhat.com/show_bug.cgi?id=1468488>

Schwachstelle CVE-2017-1000083 (NVD):
<http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-1000083>

Ubuntu Security Notice USN-3351-1:
<http://www.ubuntu.com/usn/usn-3351-1/>


(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

Ausgabe 10/2017

Digitale Ausgabe: Preis € 6,40
(inkl. 19% MwSt.)

Artikelserien und interessante Workshops aus dem Magazin können Sie hier als Bundle erwerben.