UPDATE: DFN-CERT-2015-0410 Batik: Eine Schwachstelle ermöglicht einen Denial-of-Service-Angriff und das Ausspähen von Informationen [Linux][Debian][Fedora]

UPDATE: DFN-CERT-2015-0410 Batik: Eine Schwachstelle ermöglicht einen Denial-of-Service-Angriff und das Ausspähen von Informationen [Linux][Debian][Fedora]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 3 (26.05.2015):
Für Fedora 21 und 22 werden Sicherheitsupdates in Form der Pakete
batik-1.8-0.18.svn1230816.fc21, bzw. batik-1.8-0.18.svn1230816.fc22
(jeweils im Status ‘testing’) zur Verfügung gestellt.
Version 2 (30.03.2015):
Debian stellt für die Distributionen Wheezy und Jessie Sicherheitsupdates
zur Verfügung.
Version 1 (25.03.2015):
Neues Advisory

Betroffene Software:

Apache Software Foundation Batik <= 1.7 Betroffene Plattformen: Canonical Ubuntu Linux 12.04 Lts Canonical Ubuntu Linux 14.04 Lts Canonical Ubuntu Linux 14.10 Debian Linux 7.7 Wheezy Debian Linux 8.0 Jessie Red Hat Fedora 21 Red Hat Fedora 22 Durch Ausnutzen dieser Schwachstelle kann ein entfernter, nicht authentisierter Angreifer Informationen ausspähen oder einen partiellen Denial-of-Service (DoS)-Zustand herbeiführen. Für Ubuntu 14.10, 14.04 LTS und 12.04 LTS werden Sicherheitsupdates zur Verfügung gestellt, um diese Schwachstelle zu beheben. Patch: Ubuntu Security Notice USN-2548-1 http://www.ubuntu.com/usn/usn-2548-1/

Patch:

Debian Security Advisory DSA-3205-1

https://www.debian.org/security/2015/dsa-3205

Patch:

Fedora Security Update FEDORA-2015-8783

https://admin.fedoraproject.org/updates/FEDORA-2015-8783/batik-1.8-0.18.svn1230816.fc21

Patch:

Fedora Security Update FEDORA-2015-8803

https://admin.fedoraproject.org/updates/FEDORA-2015-8803/batik-1.8-0.18.svn1230816.fc22

CVE-2015-0250: Schwachstelle in Apache Batik erlaubt Ausspähen von
Informationen

Eine Schwachstelle in den SVG zu (1) PNG und (2) JPG Konvertierungsklassen
in Apache Batik 1.x bevor 1.8 besteht darin, dass Batik XML External
Entities (XXE) per Voreinstellung lädt. Ein entfernter, nicht
authentisierter Angreifer kann diese Schwachstelle ausnutzen, indem er einen
Benutzer oder ein automatisiertes System dazu verleitet eine speziell
präparierte SVG-Datei zu öffnen, um möglicherweise Zugriff auf beliebige
Dateien zu erlangen oder einen großen Verbrauch von Ressourcen zu
verursachen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-0410/

Ubuntu Security Notice USN-2548-1:
http://www.ubuntu.com/usn/usn-2548-1/

Schwachstelle CVE-2015-0250 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0250

Debian Security Advisory DSA-3205-1:
https://www.debian.org/security/2015/dsa-3205

Fedora Security Update FEDORA-2015-8783:
https://admin.fedoraproject.org/updates/FEDORA-2015-8783/batik-1.8-0.18.svn1230816.fc21

Fedora Security Update FEDORA-2015-8803:
https://admin.fedoraproject.org/updates/FEDORA-2015-8803/batik-1.8-0.18.svn1230816.fc22

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben