Open Source im professionellen Einsatz

UPDATE: DFN-CERT-2017-1592 libwpd: Eine Schwachstelle ermöglicht einen Denial-of-Service-Angriff [Linux][Fedora]

14.09.2017

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 2 (14.09.2017):
Für Fedora 25, 26 und 27 stehen neue Sicherheitsupdates in Form der Pakete
'libwpd-0.10.2-1.fc25', 'libwpd-0.10.2-1.fc26' und 'libwpd-0.10.2-1.fc27'
im Status 'testing' bereit. Die früheren Sicherheitsupdates
FEDORA-2017-40a66b18c8 (Fedora 25, libwpd-0.10.1-8.fc25),
FEDORA-2017-6314903eb9 (Fedora 26, libwpd-0.10.1-8.fc26) und
FEDORA-2017-7096a9fdca (Fedora 27, libwpd-0.10.1-8.fc27) wurden in den
Status 'obsolete' versetzt und deshalb aus dieser Sicherheitsmeldung
entfernt.
Version 1 (08.09.2017):
Neues Advisory

Betroffene Software:

libwpd <= 0.10.1


Betroffene Plattformen:

Red Hat Fedora 25
Red Hat Fedora 26
Red Hat Fedora 27



Eine Schwachstelle in der Bibliothek libwpd ermöglicht einem entfernten,
nicht authentisierten Angreifer einen Denial-of-Service (DoS)-Angriff
durchzuführen.

Für Fedora 25, 26 und 27 stehen Backport-Sicherheitsupdates in Form des
Paketes 'libwpd-0.10.1-8' im Status 'testing' zur Verfügung.


Patch:

Fedora Security Update FEDORA-2017-5128c8cfe2 (Fedora 27, libwpd-0.10.2-1)

<https://bodhi.fedoraproject.org/updates/FEDORA-2017-5128c8cfe2>

Patch:

Fedora Security Update FEDORA-2017-63ff51c0dc (Fedora 26, libwpd-0.10.2-1)

<https://bodhi.fedoraproject.org/updates/FEDORA-2017-63ff51c0dc>

Patch:

Fedora Security Update FEDORA-2017-6e66393536 (Fedora 25, libwpd-0.10.2-1)

<https://bodhi.fedoraproject.org/updates/FEDORA-2017-6e66393536>


RED-HAT-BUG-ID-1489337: Schwachstelle in libwpd ermöglicht
Denial-of-Service-Angriff

In der Funktion 'WPXTableList' in 'WPXTable.cpp' von libwpd bis
einschließlich Version 0.10.1 kann es bei der Verarbeitung eines speziell
präparierten WordPerfect-Dokumentes zu einem Schreibzugriff außerhalb von
Puffergrenzen auf dem Heap kommen (Heap-Buffer-Overflow), wodurch das
Programm abstürzt und ein Denial-of-Service (DoS)-Zustand hergestellt wird.


Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
<https://portal.cert.dfn.de/adv/DFN-CERT-2017-1592/>

Fedora Security Update FEDORA-2017-5128c8cfe2 (Fedora 27, libwpd-0.10.2-1):
<https://bodhi.fedoraproject.org/updates/FEDORA-2017-5128c8cfe2>

Fedora Security Update FEDORA-2017-63ff51c0dc (Fedora 26, libwpd-0.10.2-1):
<https://bodhi.fedoraproject.org/updates/FEDORA-2017-63ff51c0dc>

Fedora Security Update FEDORA-2017-6e66393536 (Fedora 25, libwpd-0.10.2-1):
<https://bodhi.fedoraproject.org/updates/FEDORA-2017-6e66393536>


(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

Ausgabe 10/2017

Digitale Ausgabe: Preis € 6,40
(inkl. 19% MwSt.)

Artikelserien und interessante Workshops aus dem Magazin können Sie hier als Bundle erwerben.