DFN-CERT-2016-0026 Bibliothek libpng: Zwei Schwachstellen ermöglichen u.a. Denial-of-Service-Angriffe [Linux]

DFN-CERT-2016-0026 Bibliothek libpng: Zwei Schwachstellen ermöglichen u.a. Denial-of-Service-Angriffe [Linux]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Bibliothek libpng

Betroffene Plattformen:

Canonical Ubuntu Linux 12.04 Lts
Canonical Ubuntu Linux 14.04 Lts
Canonical Ubuntu Linux 15.04
Canonical Ubuntu Linux 15.10

Zwei Schwachstellen in der Bibliothek libpng können von einem entfernten,
nicht authentifizierten Angreifer für das Bewirken eines
Denial-of-Service-Zustandes ausgenutzt werden und eventuell für weitere
Angriffe, wie das Ausführen beliebigen Programmcodes, die zusätzlich die
Vertraulichkeit und Integrität beeinträchtigen.

Für die Distributionen Ubuntu 12.04 LTS, Ubuntu 14.04 LTS, Ubuntu 15.04 und
Ubuntu 15.10 werden Sicherheitsupdates veröffentlicht.

Patch:

Ubuntu Security Notice USN-2861-1

http://www.ubuntu.com/usn/usn-2861-1/

CVE-2015-8540: Schwachstelle in libpng ermöglicht Denial-of-Service-Angriff

Eine Schwachstelle in png_check_keyword() in pngwutil.c in libpng basiert
auf einem Lesen außerhalb von Speichergrenzen. Wenn die Daten des ‘key’ nur
aus dem Leerzeichen (ASCII 0x20) bestehen, dann wird ein Byte vor dem Beginn
des Puffers gelesen. Ein entfernter, nicht authentifizierter Angreifer kann
diese Schwachstelle mittels eines speziell präparierten PNG-Bildes
ausnutzen, um einen Denial-of-Service-Angriff durchzuführen.

CVE-2015-8472: Schwachstellen in libpng erlauben Denial-of-Service-Angriffe

Mehrere Pufferüberlauf-Schwachstellen existierten in den Funktionen (1)
‘png_set_PLTE’ und (2) ‘png_get_PLTE’ in libpng bevor 1.0.64, 1.1.x und
1.2.x bevor 1.2.54, 1.3.x und 1.4.x bevor 1.4.17, 1.5.x bevor 1.5.24 und
1.6.x bevor 1.6.19. Ein entfernter, nicht authentisierter Angreifer kann
diese Schwachstellen ausnutzen, um einen Absturz der Anwendung
(Denial-of-Service) zu verursachen oder möglicherweise weitere Angriffe
durchzuführen. Dieser CVE Identifier wurde zusätzlich zu CVE-2015-8126
vergeben.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2016-0026/

Schwachstelle CVE-2015-8472 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-8472

Schwachstelle CVE-2015-8540 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-8540

Ubuntu Security Notice USN-2861-1:
http://www.ubuntu.com/usn/usn-2861-1/

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben