UPDATE: DFN-CERT-2015-1575 Audio File Library: Eine Schwachstelle ermöglicht das Ausführen beliebigen Programmcodes [Linux][Fedora]

UPDATE: DFN-CERT-2015-1575 Audio File Library: Eine Schwachstelle ermöglicht das Ausführen beliebigen Programmcodes [Linux][Fedora]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 2 (29.10.2015):
Canonical stellt für die Distributionen Ubuntu 15.10, Ubuntu 15.04, Ubuntu
14.04 LTS und Ubuntu 12.04 LTS Sicherheitsupdates zur Verfügung.
Version 1 (13.10.2015):
Neues Advisory

Betroffene Software:

Audio File Library <= 0.3.5 Betroffene Plattformen: Canonical Ubuntu Linux 12.04 Lts Canonical Ubuntu Linux 14.04 Lts Canonical Ubuntu Linux 15.04 Canonical Ubuntu Linux 15.10 Red Hat Fedora 21 Red Hat Fedora 22 Red Hat Fedora 23 Eine Schwachstelle in der Audio File Library ermöglicht einem entfernten, nicht authentifizierten Angreifer das Ausführen beliebigen Programmcodes. Für Fedora 21, Fedora 22 und Fedora 23 stehen Sicherheitsupdates in Form der Pakete audiofile-0.3.6-9.fc21, audiofile-0.3.6-9.fc22 und audiofile-0.3.6-9.fc23 im Status 'testing' zur Verfügung. Patch: Fedora Security Update FEDORA-2015-1f9e79df21 (Fedora 21) https://bodhi.fedoraproject.org/updates/FEDORA-2015-1f9e79df21

Patch:

Fedora Security Update FEDORA-2015-4bc7688b3e (Fedora 22)

https://bodhi.fedoraproject.org/updates/FEDORA-2015-4bc7688b3e

Patch:

Fedora Security Update FEDORA-2015-605cd28f33 (Fedora 23)

https://bodhi.fedoraproject.org/updates/FEDORA-2015-605cd28f33

Patch:

Ubuntu Security Notice USN-2787-1

http://www.ubuntu.com/usn/usn-2787-1/

CVE-2015-7747: Pufferüberlauf-Schwachstelle in Audio File Library ermöglicht
Ausführen beliebigen Programmcodes

Es existiert eine Pufferüberlauf-Schwachstelle in der Audio File Bibliothek,
die durch einen Fehler in einer Konvertierungsfunktion hervorgerufen wird.
Ändert man beim Konvertieren einer Audiodatei gleichzeitig die Kanalanzahl
und das Sample-Format, führt dies zu einem fehlerhaften Schreibvorgang. Die
Funktion afReadFrames ignoriert dabei das neu gewählte Sample-Format und
schreibt mit der Variablenlänge des Ausgangsformates in den Puffer.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-1575/

Fedora Security Update FEDORA-2015-1f9e79df21 (Fedora 21):
https://bodhi.fedoraproject.org/updates/FEDORA-2015-1f9e79df21

Fedora Security Update FEDORA-2015-4bc7688b3e (Fedora 22):
https://bodhi.fedoraproject.org/updates/FEDORA-2015-4bc7688b3e

Fedora Security Update FEDORA-2015-605cd28f33 (Fedora 23):
https://bodhi.fedoraproject.org/updates/FEDORA-2015-605cd28f33

Schwachstelle CVE-2015-7747 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-7747

Ubuntu Security Notice USN-2787-1:
http://www.ubuntu.com/usn/usn-2787-1/

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben