Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 4 (14.01.2016):
Canonical stellt für die Distributionen Ubuntu 12.04 LTS, Ubuntu 14.04
LTS, Ubuntu 15.04 und Ubuntu 15.10 Sicherheitsupdates für Thunderbird
bereit, welche die Schwachstellen CVE-2015-7201, CVE-2015-7205,
CVE-2015-7212, CVE-2015-7213 und CVE-2015-7214 adressieren.
Version 3 (05.01.2016):
Debian stellt für die Distributionen Wheezy (old stable), Jessie (stable)
und Stretch (testing) Sicherheitsupdates auf die Icedove Version 38.5.0
bereit. Die Schwachstellen CVE-2015-7210 und CVE-2015-7222 werden von
diesen nicht adressiert.
Version 2 (05.01.2016):
Red Hat stellt für die Enterprise Linux Produkte Desktop Client 5, Desktop
6 und 7, Server 6 und 7, Server EUS 6.7z sowie Workstation 6 und 7
Sicherheitsupdates, welche die Schwachstellen CVE-2015-7201,
CVE-2015-7205, CVE-2015-7212, CVE-2015-7213 und CVE-2015-7214 beheben, zur
Verfügung.
Version 1 (04.01.2016):
Neues Advisory

Betroffene Software:

Debian Icedove < 38.5.0 Mozilla Thunderbird < 38.5.0 Betroffene Plattformen: Apple Mac OS X Canonical Ubuntu Linux 12.04 Lts Canonical Ubuntu Linux 14.04 Lts Canonical Ubuntu Linux 15.04 Canonical Ubuntu Linux 15.10 Debian Linux 7.9 Wheezy Debian Linux 8.2 Jessie Debian Linux 9.0 Stretch GNU/Linux Microsoft Windows openSUSE 13.1 openSUSE 13.2 openSUSE Leap 42.1 Red Hat Enterprise Linux Desktop 5 Client Red Hat Enterprise Linux Desktop 6 Red Hat Enterprise Linux Desktop 7 Red Hat Enterprise Linux Server 6 Red Hat Enterprise Linux Server 6.7.z EUS Red Hat Enterprise Linux Server 7 Red Hat Enterprise Linux Workstation 6 Red Hat Enterprise Linux Workstation 7 Mehrere Schwachstellen in Mozilla Thunderbird vor Version 38.5.0 ermöglichen einem entfernten, nicht authentifizierten Angreifer das Durchführen von Denial-of-Service-Angriffen, Ausführen beliebigen Programmcodes und Ausspähen von Informationen. Für die Distributionen openSUSE Leap 42.1, openSUSE 13.2 und openSUSE 13.1 stehen Sicherheitsupdates bereit. Patch: Mozilla Thunderbird Update Seite http://www.mozilla.org/de/thunderbird

Patch:

openSUSE Security Update openSUSE-SU-2015:2406-1

http://lists.opensuse.org/opensuse-updates/2015-12/msg00140.html

Patch:

Debian Security Advisory DSA-3432-1

https://www.debian.org/security/2016/dsa-3432

Patch:

Red Hat Security Advisory RHSA-2016:0001

http://rhn.redhat.com/errata/RHSA-2016-0001.html

Patch:

Ubuntu Security Notice USN-2859-1

http://www.ubuntu.com/usn/usn-2859-1/

CVE-2015-7222: Schwachstelle in Mozilla Firefox ermöglicht Denial-of-Service

In der Funktion ‘Metadata::setData’ in MetaData.cpp in der ‘libstagefright’
Bibliothek in Mozilla Firefox vor Version 43 bzw. Firefox ESR vor Version
38.5 existiert eine Schwachstelle aufgrund eines Ganzzahlenunterlaufs
(‘integer underflow’) bei der Verarbeitung von MP4-formatierten
Video-Dateien während des Parsens von Cover Metadaten, wodurch es zu einem
Pufferüberlauf (‘buffer overflow’) kommt. Ein entfernter, nicht
authentisierter Angreifer kann diese Schwachstelle ausnutzen, mittels einer
schädlich geformten MP4-Datei, die über eine Webseite bereitgestellt werden
kann, um einen Absturz (Denial-of-Servide) herbeizuführen oder
möglicherweise beliebigen Programmcode zur Ausführung zu bringen.

CVE-2015-7214: Schwachstelle in Mozilla Firefox ermöglicht
Cross-Site-Reading

In Mozilla Firefox vor Version 43 bzw. Firefox ESR vor Version 38.5
existiert eine Schwachstelle aufgrund der Möglichkeit einer Verletzung der
Same-Origin-Sicherheitsrichtlinie mittels Inhalten, die ‘data:’ und
‘view-soure:’ URIs verwenden, sodass auf Daten von Cross-Site URLs und
lokale Dateien lesend zugegriffen werden kann. Ein entfernter, nicht
authentisierter Angreifer kann die Schwachstelle ausnutzen, um den
Sicherheitsmechanismus zu irritieren, somit Zugriffsbeschränkungen umgehen
und in der Folge sensible Informationen ausspähen.

CVE-2015-7213: Schwachstelle in Mozilla MPEG4Extractor ermöglicht
Denial-of-Service

In der Funktion MPEG4Extractor::readMetaData, wie in Mozilla Firefox vor
Version 43 bzw. Firefox ESR vor Version 38.5 und anderen Mozilla-basierten
Produkten verwendet, existiert eine Schwachstelle aufgrund einer
fehlerhaften Speicherbehandlung (‘memory-safety bug’). Bei der Wiedergabe
von MP4-formatierten Videodateien kommt es zu einem Ganzzahlenüberlauf
(‘integer overflow’) und in der Folge einem Pufferüberlauf, falls
fehlerhafterweise ein zu kleiner Puffer zugewiesen ist. Ein entfernter,
nicht authentisierter Angreifer kann diese Schwachstelle ausnutzen, um einen
Absturz (Denial-of-Service) herbeizuführen. Von dieser Schwachstelle sind
nur 64-bit Versionen betroffen.

CVE-2015-7212: Schwachstelle in Mozilla Firefox ermöglicht
Denial-of-Service-Angriff

In Mozilla Firefox vor Version 43 und Firefox ESR vor Version 38.5 existiert
eine Schwachstelle aufgrund eines Integer-Überlaufs in
mozilla::layers::BufferTextureClient::AllocateForSurface bei der
Reservierung von Speicher für Texturen von extremen Ausmaßen während
grafischer Operationen. Ein entfernter, nicht authentisierter Angreifer kann
diese Schwachstelle ausnutzen, um einen Denial-of-Service-Angriff
durchzuführen oder möglicherweise beliebigen Programmcode auszuführen.

CVE-2015-7210: Schwachstelle in Mozilla Firefox ermöglicht Ausführen
beliebigen Programmcodes

In Mozilla Firefox vor Version 43 und Firefox ESR vor Version 38.5 existiert
eine Schwachstelle in WebRTC aufgrund eines ‘Use-after-free’-Fehlers, wenn
der Datenkanal in Folge von zeitlichen Fehlern benutzt wird, nachdem er
bereits geschlossen wurde. Ein entfernter, nicht authentisierter Angreifer
kann diese Schwachstelle ausnutzen, um einen Denial-of-Service-Angriff
durchzuführen oder möglicherweise beliebigen Programmcode auszuführen.

CVE-2015-7205: Schwachstelle in Mozilla Firefox ermöglicht
Denial-of-Service-Angriff

In Mozilla Firefox vor Version 43 und Firefox ESR vor Version 38.5 existiert
eine Schwachstelle mit unbekannten Angriffsvektoren aufgrund eines
‘Underflow’-Fehlers in RTPReceiverVideo::ParseRtpPacket, der zu einer
unsicheren Speicherbehandlung und Offenlegung von Informationen führt. Ein
entfernter, nicht authentisierter Angreifer kann diese Schwachstelle
ausnutzen, um einen Denial-of-Service-Angriff durchzuführen oder
möglicherweise beliebigen Programmcode auszuführen.

CVE-2015-7201: Schwachstelle in Mozilla Browser Engine ermöglicht Ausführen
beliebigen Programmcodes

In der Browser Engine, wie sie in Mozilla Firefox vor Version 43 bzw.
Firefox ESR vor Version 38.5 und anderen Mozilla-basierten Produkten
verwendet wird, existiert eine Schwachstelle, die unter nicht spezifizierten
Angriffsvektoren zu einer Speicherbeschädigung führen kann. Ein entfernter,
nicht authentisierter Angreifer kann diese Schwachstelle ausnutzen, um einen
Denial-of-Service-Angriff durchzuführen oder beliebigen Programmcode
auszuführen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2016-0004/

Mozilla Thunderbird Update Seite:
http://www.mozilla.org/de/thunderbird

Schwachstelle CVE-2015-7201 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-7201

Schwachstelle CVE-2015-7205 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-7205

Schwachstelle CVE-2015-7210 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-7210

Schwachstelle CVE-2015-7212 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-7212

Schwachstelle CVE-2015-7213 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-7213

Schwachstelle CVE-2015-7214 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-7214

Schwachstelle CVE-2015-7222 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-7222

openSUSE Security Update openSUSE-SU-2015:2406-1:
http://lists.opensuse.org/opensuse-updates/2015-12/msg00140.html

Mozilla Thunderbird Release Notes :
https://www.mozilla.org/en-US/security/known-vulnerabilities/thunderbird/

Debian Security Advisory DSA-3432-1:
https://www.debian.org/security/2016/dsa-3432

Red Hat Security Advisory RHSA-2016:0001:
http://rhn.redhat.com/errata/RHSA-2016-0001.html

Ubuntu Security Notice USN-2859-1:
http://www.ubuntu.com/usn/usn-2859-1/

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 3 (05.01.2016):
Debian stellt für die Distributionen Wheezy (old stable), Jessie (stable)
und Stretch (testing) Sicherheitsupdates auf die Icedove Version 38.5.0
bereit. Die Schwachstellen CVE-2015-7210 und CVE-2015-7222 werden von
diesen nicht adressiert.
Version 2 (05.01.2016):
Red Hat stellt für die Enterprise Linux Produkte Desktop Client 5, Desktop
6 und 7, Server 6 und 7, Server EUS 6.7z sowie Workstation 6 und 7
Sicherheitsupdates, welche die Schwachstellen CVE-2015-7201,
CVE-2015-7205, CVE-2015-7212, CVE-2015-7213 und CVE-2015-7214 beheben, zur
Verfügung.
Version 1 (04.01.2016):
Neues Advisory

Betroffene Software:

Debian Icedove < 38.5.0 Mozilla Thunderbird < 38.5.0 Betroffene Plattformen: Apple Mac OS X Debian Linux 7.9 Wheezy Debian Linux 8.2 Jessie Debian Linux 9.0 Stretch GNU/Linux Microsoft Windows openSUSE 13.1 openSUSE 13.2 openSUSE Leap 42.1 Red Hat Enterprise Linux Desktop 5 Client Red Hat Enterprise Linux Desktop 6 Red Hat Enterprise Linux Desktop 7 Red Hat Enterprise Linux Server 6 Red Hat Enterprise Linux Server 6.7.z EUS Red Hat Enterprise Linux Server 7 Red Hat Enterprise Linux Workstation 6 Red Hat Enterprise Linux Workstation 7 Mehrere Schwachstellen in Mozilla Thunderbird vor Version 38.5.0 ermöglichen einem entfernten, nicht authentifizierten Angreifer das Durchführen von Denial-of-Service-Angriffen, Ausführen beliebigen Programmcodes und Ausspähen von Informationen. Für die Distributionen openSUSE Leap 42.1, openSUSE 13.2 und openSUSE 13.1 stehen Sicherheitsupdates bereit. Patch: Mozilla Thunderbird Update Seite http://www.mozilla.org/de/thunderbird

Patch:

openSUSE Security Update openSUSE-SU-2015:2406-1

http://lists.opensuse.org/opensuse-updates/2015-12/msg00140.html

Patch:

Debian Security Advisory DSA-3432-1

https://www.debian.org/security/2016/dsa-3432

Patch:

Red Hat Security Advisory RHSA-2016:0001

http://rhn.redhat.com/errata/RHSA-2016-0001.html

CVE-2015-7222: Schwachstelle in Mozilla Firefox ermöglicht Denial-of-Service

In der Funktion ‘Metadata::setData’ in MetaData.cpp in der ‘libstagefright’
Bibliothek in Mozilla Firefox vor Version 43 bzw. Firefox ESR vor Version
38.5 existiert eine Schwachstelle aufgrund eines Ganzzahlenunterlaufs
(‘integer underflow’) bei der Verarbeitung von MP4-formatierten
Video-Dateien während des Parsens von Cover Metadaten, wodurch es zu einem
Pufferüberlauf (‘buffer overflow’) kommt. Ein entfernter, nicht
authentisierter Angreifer kann diese Schwachstelle ausnutzen, mittels einer
schädlich geformten MP4-Datei, die über eine Webseite bereitgestellt werden
kann, um einen Absturz (Denial-of-Servide) herbeizuführen oder
möglicherweise beliebigen Programmcode zur Ausführung zu bringen.

CVE-2015-7214: Schwachstelle in Mozilla Firefox ermöglicht
Cross-Site-Reading

In Mozilla Firefox vor Version 43 bzw. Firefox ESR vor Version 38.5
existiert eine Schwachstelle aufgrund der Möglichkeit einer Verletzung der
Same-Origin-Sicherheitsrichtlinie mittels Inhalten, die ‘data:’ und
‘view-soure:’ URIs verwenden, sodass auf Daten von Cross-Site URLs und
lokale Dateien lesend zugegriffen werden kann. Ein entfernter, nicht
authentisierter Angreifer kann die Schwachstelle ausnutzen, um den
Sicherheitsmechanismus zu irritieren, somit Zugriffsbeschränkungen umgehen
und in der Folge sensible Informationen ausspähen.

CVE-2015-7213: Schwachstelle in Mozilla MPEG4Extractor ermöglicht
Denial-of-Service

In der Funktion MPEG4Extractor::readMetaData, wie in Mozilla Firefox vor
Version 43 bzw. Firefox ESR vor Version 38.5 und anderen Mozilla-basierten
Produkten verwendet, existiert eine Schwachstelle aufgrund einer
fehlerhaften Speicherbehandlung (‘memory-safety bug’). Bei der Wiedergabe
von MP4-formatierten Videodateien kommt es zu einem Ganzzahlenüberlauf
(‘integer overflow’) und in der Folge einem Pufferüberlauf, falls
fehlerhafterweise ein zu kleiner Puffer zugewiesen ist. Ein entfernter,
nicht authentisierter Angreifer kann diese Schwachstelle ausnutzen, um einen
Absturz (Denial-of-Service) herbeizuführen. Von dieser Schwachstelle sind
nur 64-bit Versionen betroffen.

CVE-2015-7212: Schwachstelle in Mozilla Firefox ermöglicht
Denial-of-Service-Angriff

In Mozilla Firefox vor Version 43 und Firefox ESR vor Version 38.5 existiert
eine Schwachstelle aufgrund eines Integer-Überlaufs in
mozilla::layers::BufferTextureClient::AllocateForSurface bei der
Reservierung von Speicher für Texturen von extremen Ausmaßen während
grafischer Operationen. Ein entfernter, nicht authentisierter Angreifer kann
diese Schwachstelle ausnutzen, um einen Denial-of-Service-Angriff
durchzuführen oder möglicherweise beliebigen Programmcode auszuführen.

CVE-2015-7210: Schwachstelle in Mozilla Firefox ermöglicht Ausführen
beliebigen Programmcodes

In Mozilla Firefox vor Version 43 und Firefox ESR vor Version 38.5 existiert
eine Schwachstelle in WebRTC aufgrund eines ‘Use-after-free’-Fehlers, wenn
der Datenkanal in Folge von zeitlichen Fehlern benutzt wird, nachdem er
bereits geschlossen wurde. Ein entfernter, nicht authentisierter Angreifer
kann diese Schwachstelle ausnutzen, um einen Denial-of-Service-Angriff
durchzuführen oder möglicherweise beliebigen Programmcode auszuführen.

CVE-2015-7205: Schwachstelle in Mozilla Firefox ermöglicht
Denial-of-Service-Angriff

In Mozilla Firefox vor Version 43 und Firefox ESR vor Version 38.5 existiert
eine Schwachstelle mit unbekannten Angriffsvektoren aufgrund eines
‘Underflow’-Fehlers in RTPReceiverVideo::ParseRtpPacket, der zu einer
unsicheren Speicherbehandlung und Offenlegung von Informationen führt. Ein
entfernter, nicht authentisierter Angreifer kann diese Schwachstelle
ausnutzen, um einen Denial-of-Service-Angriff durchzuführen oder
möglicherweise beliebigen Programmcode auszuführen.

CVE-2015-7201: Schwachstelle in Mozilla Browser Engine ermöglicht Ausführen
beliebigen Programmcodes

In der Browser Engine, wie sie in Mozilla Firefox vor Version 43 bzw.
Firefox ESR vor Version 38.5 und anderen Mozilla-basierten Produkten
verwendet wird, existiert eine Schwachstelle, die unter nicht spezifizierten
Angriffsvektoren zu einer Speicherbeschädigung führen kann. Ein entfernter,
nicht authentisierter Angreifer kann diese Schwachstelle ausnutzen, um einen
Denial-of-Service-Angriff durchzuführen oder beliebigen Programmcode
auszuführen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2016-0004/

Mozilla Thunderbird Update Seite:
http://www.mozilla.org/de/thunderbird

Schwachstelle CVE-2015-7201 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-7201

Schwachstelle CVE-2015-7205 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-7205

Schwachstelle CVE-2015-7210 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-7210

Schwachstelle CVE-2015-7212 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-7212

Schwachstelle CVE-2015-7213 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-7213

Schwachstelle CVE-2015-7214 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-7214

Schwachstelle CVE-2015-7222 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-7222

openSUSE Security Update openSUSE-SU-2015:2406-1:
http://lists.opensuse.org/opensuse-updates/2015-12/msg00140.html

Mozilla Thunderbird Release Notes :
https://www.mozilla.org/en-US/security/known-vulnerabilities/thunderbird/

Debian Security Advisory DSA-3432-1:
https://www.debian.org/security/2016/dsa-3432

Red Hat Security Advisory RHSA-2016:0001:
http://rhn.redhat.com/errata/RHSA-2016-0001.html

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.