Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Betroffene Software:
Qt <= 4.8.6 Qt <= 5.4.1 Betroffene Plattformen: Canonical Ubuntu Linux 12.04 Lts Canonical Ubuntu Linux 14.04 Lts Canonical Ubuntu Linux 14.10 Canonical Ubuntu Linux 15.04 Mehrere Schwachstellen in Qt ermöglichen einem entfernten, nicht authentifizierten Angreifer, Denial-of-Service-Angriffe durchzuführen oder eventuell auch beliebigen Programmcode auszuführen. Für die Distributionen Ubuntu 15.04, Ubuntu 14.10, Ubuntu 14.04 LTS und Ubuntu 12.04 LTS stehen Sicherheitsupdates bereit. Patch: Ubuntu Security Notice USN-2626-1 http://www.ubuntu.com/usn/usn-2626-1/
CVE-2015-1860: Schwachstelle in Qt ermöglicht Denial-of-Service-Angriff
Eine Schwachstelle im qgifhandler.cpp von Qt kann zu einer
Speicherschutzverletzung (Segmentation Fault) führen. Die Verarbeitung von
fehlerhaften GIF Bildern durch qgifhandler.cpp kann zu einer
Speicherschutzverletzung führen, wodurch ein Absturz ausgelöst wird oder
eventuell beliebiger Programmcode ausgeführt werden kann. Ein entfernter,
nicht authentifizierter Angreifer kann diese Schwachstelle mit Hilfe von
präparierten GIF-Bilddateien ausnutzen.
CVE-2015-1859: Schwachstelle in Qt ermöglicht Denial-of-Service-Angriff
Eine Schwachstelle im qicohandler.cpp von Qt kann zu einer
Speicherschutzverletzung (Segmentation Fault) führen. Die Verarbeitung von
fehlerhaften ICO-Bildern durch qicohandler.cpp kann zu einer
Speicherschutzverletzung führen, wodurch ein Absturz ausgelöst wird oder
eventuell beliebiger Programmcode ausgeführt werden kann. Ein entfernter,
nicht authentifizierter Angreifer kann diese Schwachstelle mit Hilfe von
präparierten ICO Bilddateien ausnutzen.
CVE-2015-1858: Schwachstelle in Qt ermöglicht Denial-of-Service-Angriff
Eine Schwachstelle im qbmphandler.cpp von Qt kann zu einer
Speicherschutzverletzung (Segmentation Fault) führen. Die Verarbeitung von
fehlerhaften BMP-Bildern durch qbmphandler.cpp kann zu einer
Speicherschutzverletzung führen, wodurch ein Absturz ausgelöst wird oder
eventuell beliebiger Programmcode ausgeführt werden kann. Ein entfernter,
nicht authentifizierter Angreifer kann diese Schwachstelle mit Hilfe von
präparierten BMP Bilddateien ausnutzen.
CVE-2015-0295: Schwachstelle im BMP Dekoder ermöglicht
Denial-of-Service-Angriff
Eine Schwachstelle im eingebauten BMP-Dekoder von Qt führt bei der
Verarbeitung von fehlerhaften BMP-Bildern zu einer Teilung durch Null
(division by zero) wodurch ein Absturz ausgelöst wird. Ein entfernter, nicht
authentifizierter Angreifer kann einen Denial-of-Service-Angriff
durchführen.
CVE-2014-0190: Schwachstelle in QT GIF Image Handler
Eine Schwachstelle in “qt” in “QGIFFormat::fillRect” besteht in einer
NULL-Zeiger “De-reference”. Ein entfernter, nicht authentisierter Angreifer
kann diese Schwachstelle mit Hilfe speziell präparierter GIF-Bilder
ausnutzen, um Anwendungen, die diese Funktion zum Laden der Bilder nutzen,
abstürzen zu lassen.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-0789/
Schwachstelle CVE-2014-0190 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0190
Schwachstelle CVE-2015-0295 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0295
Schwachstelle CVE-2015-1858 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-1858
Schwachstelle CVE-2015-1859 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-1859
Schwachstelle CVE-2015-1860 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-1860
Ubuntu Security Notice USN-2626-1:
http://www.ubuntu.com/usn/usn-2626-1/
(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.
