UPDATE: DFN-CERT-2015-0449 Mozilla Firefox, Mozilla Thunderbird, Debian Iceweasel: Mehrere Schwachstellen ermöglichen u.a. das Ausführen beliebigen Programmcodes [Linux][Debian][RedHat]

UPDATE: DFN-CERT-2015-0449 Mozilla Firefox, Mozilla Thunderbird, Debian Iceweasel: Mehrere Schwachstellen ermöglichen u.a. das Ausführen beliebigen Programmcodes [Linux][Debian][RedHat]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 3 (02.04.2015):
Debian stellt für die stabile Distribution Wheezy ein Sicherheitsupdate
auf die Iceweasel Version 31.6.0 ESR bereit.
Version 2 (01.04.2015):
Für die Red Hat Enterprise Linux 6 und 7 Produkte Desktop, Server und
Workstation sowie für Red Hat Enterprise Linux Desktop (v. 5 Client) und
Red Hat Enterprise Linux Server EUS (v. 6.6.z) stehen Sicherheitsupdates
für Mozilla Thunderbird auf Version 31.6.0 bereit.
Version 1 (01.04.2015):
Neues Advisory

Betroffene Software:

Debian Iceweasel < 31.6.0 ESR Mozilla Firefox ESR < 31.6 Mozilla Thunderbird < 31.6 Betroffene Plattformen: Debian Linux 7.7 Wheezy Red Hat Enterprise Linux Desktop 5 Client Red Hat Enterprise Linux Desktop 6 Red Hat Enterprise Linux Desktop 7 Red Hat Enterprise Linux HPC Node 6 Red Hat Enterprise Linux HPC Node 7 Red Hat Enterprise Linux Server 5 Red Hat Enterprise Linux Server 6 Red Hat Enterprise Linux Server 6.6.z EUS Red Hat Enterprise Linux Server 7 Red Hat Enterprise Linux Workstation 6 Red Hat Enterprise Linux Workstation 7 Mehrere Schwachstellen in Mozilla Firefox können von einem entfernten, nicht authentisierten Angreifer zum Umgehen von Sicherheitsvorkehrungen, Durchführen von Denial-of-Sevice-Angriffen, Ausführen beliebigen Programmcodes oder von Cross-Site-Request-Forgery-Angriffen genutzt werden. Für verschiedene Red Hat Enterprise Linux 5, 6 und 7 Produkte stehen Sicherheitsupdates auf die Firefox Version 31.6.0 ESR zur Behebung der Schwachstellen bereit. Patch: Red Hat Security Advisory RHSA-2015:0766 http://rhn.redhat.com/errata/RHSA-2015-0766.html

Patch:

Red Hat Security Advisory RHSA-2015:0771

http://rhn.redhat.com/errata/RHSA-2015-0771.html

Patch:

Debian Security Advisory DSA-3211-1

https://www.debian.org/security/2015/dsa-3211

CVE-2015-0816: Schwachstelle in Firefox und Thunderbird beim Laden von
Dokumenten über Resource URLs

Es existiert eine Schwachstelle in Mozilla Firefox und Thunderbird beim
Laden von Dokumenten über Resource URLs, wie es z.B. in Mozilla’s PDF.js
PDF File Viewer der Fall ist. Ein entfernter, nicht authentifizierter
Angreifer kann dies nutzen, um Sicherheitsvorkehrungen zu umgehen und
beliebigen Programmcode zur Ausführung bringen.

CVE-2015-0815: Mehrere Speicherkorruptions-Schwachstellen in der Mozilla
Bowser Engine

In der Browser Engine, die von Firefox und anderen Mozilla Anwendungen
genutzt wird, bestehen mehrere nicht näher spezifizierte
Speicherkorruptions-Schwachstellen. Ein entfernter, nicht authentifizierter
Angreifer kann diese für einen Denial-of-Service-Angriff nutzen oder um
beliebigen Programmcode zur Ausführung zu bringen.

CVE-2015-0813: Use-after-free-Schwachstelle in Fluendo MP3 GStreamer Plugin
ermöglicht Ausführen von Programmcode

Eine Benutzen-nach-Freigabe-Schwachstelle (use-after-free) bei der
Wiedergabe von MP3-Dateien unter Verwendung des Fluendo MP3 GStreamer
Plugins kann zu der Verwendung von Speicherobjekten führen, nachdem diese
freigegeben wurden. Die Schwachstelle besteht aufgrund der Interaktion des
Plugins mit Mozilla Code. Ein entfernter, nicht authentifizierter Angreifer
kann einen Denial-of-Service-Angriff durchführen oder eventuell beliebigen
Programmcode zur Ausführung bringen.

CVE-2015-0807: Schwachstelle in CORS ermöglicht
Cross-Site-Request-Forgery-Angriff

Es besteht eine Schwachstelle im Cross-Origin-Resource-Sharing (CORS) bei
der Behandlung von ‘sendBeacon’-Anfragen. Ein entfernter, nicht
authentifizierter Angreifer kann über eine manipulierte Webseite einen
Cross-Site-Request-Forgery-Angriff durchführen.

CVE-2015-0801: Schwachstelle in Firefox und Thunderbird erlaubt das Umgehen
der Same-Origin-Policy

Eine Schwachstelle in Mozilla Firefox und Thunderbird kann während der
‘Anchor’ Navigation (Navigation über Ankerpunkte) zum Umgehen der
Same-Origin-Policy genutzt werden. Ein entfernter, nicht authentisierter
Angreifer kann diese Schwachstelle ausnutzen, um Sicherheitsvorkehrungen zu
umgehen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-0449/

Red Hat Security Advisory RHSA-2015:0766:
http://rhn.redhat.com/errata/RHSA-2015-0766.html

Red Hat Security Advisory RHSA-2015:0771:
http://rhn.redhat.com/errata/RHSA-2015-0771.html

Schwachstelle CVE-2015-0801 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0801

Schwachstelle CVE-2015-0807 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0807

Schwachstelle CVE-2015-0813 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0813

Schwachstelle CVE-2015-0815 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0815

Schwachstelle CVE-2015-0816 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0816

Debian Security Advisory DSA-3211-1:
https://www.debian.org/security/2015/dsa-3211

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben