UPDATE: DFN-CERT-2015-1762 libpng: Mehrere Schwachstellen ermöglichen Ausspähen von Informationen und Denial-of-Service-Angriffe [Linux][Fedora]

UPDATE: DFN-CERT-2015-1762 libpng: Mehrere Schwachstellen ermöglichen Ausspähen von Informationen und Denial-of-Service-Angriffe [Linux][Fedora]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 2 (17.11.2015):
Mehrere Pufferüberlauf-Schwachstellen wurden von NVD unter CVE-2015-8126
zusammengefasst, welche deshalb mit aufgenommen wurde. Die Schwachstellen
ermöglichen einem entfernten, nicht authentisierten Angreifer die
Durchführung von Denial-of-Service (DoS)-Angriffen. Die
PNG-Entwicklergruppe hat die fehlerbereinigten Versionen libpng-1.5.24 und
libpng-1.6.19 sowie für ‘legacy”-Anwendungen die Versionen libpng-1.4.17,
libpng-1.2.54 und libpng-1.0.64 zur Verfügung gestellt.
Version 1 (13.11.2015):
Neues Advisory

Betroffene Software:

Bibliothek Libpng <= 1.0.63 Bibliothek Libpng <= 1.2.53 Bibliothek Libpng <= 1.4.16 Bibliothek Libpng <= 1.5.23 Bibliothek Libpng <= 1.6.18 Betroffene Plattformen: Red Hat Fedora 21 Red Hat Fedora 22 Red Hat Fedora 23 Extra Packages for Red Hat Enterprise Linux 6 Eine Schwachstelle in libpng ermöglicht einem entfernten, authentisierten Angreifer das Ausspähen von Informationen. Für Fedora 21, 22 und 23 sowie EPEL 6 werden Sicherheitsupdates in Form der Pakete libpng10-1.0.64-1.fc21, libpng10-1.0.64-1.fc22, libpng10-1.0.64-1.fc23 und libpng10-1.0.64-1.el6 im Status 'testing' zur Verfügung gestellt. Patch: Fedora Security Update FEDORA-2015-1d87313b7c (Fedora 23) https://bodhi.fedoraproject.org/updates/FEDORA-2015-1d87313b7c

Patch:

Fedora Security Update FEDORA-2015-501493d853 (Fedora 21)

https://bodhi.fedoraproject.org/updates/FEDORA-2015-501493d853

Patch:

Fedora Security Update FEDORA-2015-ec2ddd15d7 (Fedora 22)

https://bodhi.fedoraproject.org/updates/FEDORA-2015-ec2ddd15d7

Patch:

Fedora Security Update FEDORA-EPEL-2015-260d131310 (EPEL 6)

https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2015-260d131310

Patch:

PNG Reference Library Security Updates

http://libpng.sourceforge.net/

CVE-2015-8126: Schwachstellen in libpng erlauben Denial-of-Service-Angriffe

Mehrere Pufferüberlauf-Schwachstellen existierten in den Funktionen (1)
‘png_set_PLTE’ und (2) ‘png_get_PLTE’ in libpng bevor 1.0.64, 1.1.x und
1.2.x bevor 1.2.54, 1.3.x und 1.4.x bevor 1.4.17, 1.5.x bevor 1.5.24 und
1.6.x bevor 1.6.19. Ein entfernter, nicht authentisierter Angreifer kann
diese Schwachstelle ausnutzen, mittels eines kleinen ‘bit-depth’-Wertes in
einem IHDR (aka image header) Chunk in einer PNG-Bilddatei, um einen Absturz
der Anwendung (Denial-of-Service) zu verursachen oder möglicherweise weitere
Angriffe durchzuführen.

CVE-2015-7981: Schwachstelle in libpng erlaubt Ausspähen von Informationen

In der Funktion ‘png_convert_to_rfc1123()’ in png.c existiert eine
Schwachstelle, die bei der Transformation von Bildern zu einem Lesen über
Speicherbegrenzungen hinaus führt (“out-of-bounds read”). Ein entfernter,
einfach authentisierter Benutzer, als Angreifer, kann diese Schwachstelle
ausnutzen, mittels einer schädlichen, präparierten Bilddatei im
‘png’-Format, um durch Offenlegung von Speicherinhalten einer Anwendung
potentiell sensible Informationen auszuspähen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-1762/

Schwachstelle CVE-2015-7981 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-7981

Fedora Security Update FEDORA-2015-1d87313b7c (Fedora 23):
https://bodhi.fedoraproject.org/updates/FEDORA-2015-1d87313b7c

Fedora Security Update FEDORA-2015-501493d853 (Fedora 21):
https://bodhi.fedoraproject.org/updates/FEDORA-2015-501493d853

Fedora Security Update FEDORA-2015-ec2ddd15d7 (Fedora 22):
https://bodhi.fedoraproject.org/updates/FEDORA-2015-ec2ddd15d7

Fedora Security Update FEDORA-EPEL-2015-260d131310 (EPEL 6):
https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2015-260d131310

Schwachstelle CVE-2015-8126 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-8126

PNG Reference Library Security Updates:
http://libpng.sourceforge.net/

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben