Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Historie:
Version 3 (21.03.2016):
Debian stellt für die Distributionen Wheezy (oldstable) und Jessie
(stable) Sicherheitsupdates für Debian Icedove auf Version 38.7.0 bereit,
die die aufgeführten Schwachstellen mit Ausnahme von CVE-2016-1952 und
CVE-2016-1953 beheben.
Version 2 (17.03.2016):
Red Hat stellt für die Produkte RHEL Optional Productivity Applications
(v. 5 Server), Red Hat Enterprise Linux Desktop 5 (Client), 6 und 7,
Server 6, 7, AUS 7.2, EUS 6.7.z und EUS 7.2 sowie Workstation 6 und 7
Sicherheitsupdates auf die Thunderbird Version 38.7.0 zur Verfügung. In
dem Red Hat Security Advisory werden die Schwachstellen CVE-2016-1950 und
CVE-2016-1953 nicht aufgeführt.
Version 1 (16.03.2016):
Neues Advisory
Betroffene Software:
Debian Icedove < 38.7.0 Mozilla Thunderbird < 38.7 Betroffene Plattformen: Red Hat Optional Productivity Applications 5 Server Apple Mac OS X Debian Linux 7.9 Wheezy Debian Linux 8.3 Jessie GNU/Linux Microsoft Windows Red Hat Enterprise Linux Desktop 5 Client Red Hat Enterprise Linux Desktop 6 Red Hat Enterprise Linux Desktop 7 Red Hat Enterprise Linux Server 6 Red Hat Enterprise Linux Server 6.7.z EUS Red Hat Enterprise Linux Server 7 Red Hat Enterprise Linux Server 7.2 AUS Red Hat Enterprise Linux Server 7.2 EUS Red Hat Enterprise Linux Workstation 6 Red Hat Enterprise Linux Workstation 7 Mehrere Schwachstellen in Mozilla Thunderbird ermöglichen einem entfernten, nicht authentifizierten Angreifer die Ausführung beliebigen Programmcodes, auch mit Benutzerrechten, verschiedene Denial-of-Service-Angriffe und das Manipulieren von Dateien. Mozilla informiert mit Updates auf die Mozilla Foundation Security Advisories 2016-16, 2016-17, 2016-20, 2016-23, 2016-24, 2016-27, 2016-31, 2016-34, 2016-35 und 2016-37 darüber, dass Mozilla Thunderbird von den Schwachstellen betroffen ist. Direkt angreifbar ist Mozilla Thunderbird von den Schwachstellen aus den Mozilla Foundation Security Advisories 2016-16, 2016-35 und 2016-37. Die weiteren Schwachstellen können nicht per Email ausgenutzt werden, stellen aber ein Sicherheitsrisiko in Browsern und Browser ähnlichen Umgebungen dar. Die Mozilla Foundation stellt ein Update auf Mozilla Thunderbird 38.7 bereit, das alle angegebenen Schwachstellen behebt. Patch: Mozilla Thunderbird Update Seite https://www.mozilla.org/de/thunderbird
Patch:
Mozilla Foundation Security Advisory 2016-16
https://www.mozilla.org/en-US/security/advisories/mfsa2016-16/
Patch:
Mozilla Foundation Security Advisory 2016-17
https://www.mozilla.org/en-US/security/advisories/mfsa2016-17/
Patch:
Mozilla Foundation Security Advisory 2016-20
https://www.mozilla.org/en-US/security/advisories/mfsa2016-20/
Patch:
Mozilla Foundation Security Advisory 2016-23
https://www.mozilla.org/en-US/security/advisories/mfsa2016-23/
Patch:
Mozilla Foundation Security Advisory 2016-24
https://www.mozilla.org/en-US/security/advisories/mfsa2016-24/
Patch:
Mozilla Foundation Security Advisory 2016-27
https://www.mozilla.org/en-US/security/advisories/mfsa2016-27/
Patch:
Mozilla Foundation Security Advisory 2016-31
https://www.mozilla.org/en-US/security/advisories/mfsa2016-31/
Patch:
Mozilla Foundation Security Advisory 2016-34
https://www.mozilla.org/en-US/security/advisories/mfsa2016-34/
Patch:
Mozilla Foundation Security Advisory 2016-35
https://www.mozilla.org/en-US/security/advisories/mfsa2016-35/
Patch:
Mozilla Foundation Security Advisory 2016-37
https://www.mozilla.org/en-US/security/advisories/mfsa2016-37/
Patch:
Mozilla Thunderbird 38.7 – Known Vulnerabilities
https://www.mozilla.org/en-US/security/known-vulnerabilities/thunderbird/#thunderbird38.7
Patch:
Red Hat Security Advisory RHSA-2016:0460
http://rhn.redhat.com/errata/RHSA-2016-0460.html
Patch:
Debian Security Advisory DSA-3520-1
https://www.debian.org/security/2016/dsa-3520
CVE-2016-2796 CVE-2016-2797 CVE-2016-2798 CVE-2016-2799 CVE-2016-2800
CVE-2016-2801 CVE-2016-2802: Schwachstellen in Graphite2 ermöglichen
Ausführung beliebigen Programmcodes
Aufgrund mehrerer Schwachstellen in Graphite2 kann es bei der Verarbeitung
von Schriftarten zur Speicherkorruption kommen. Ein entfernter, nicht
authentifizierter Angreifer kann dadurch möglicherweise beliebigen
Programmcode ausführen und einen Denial-of-Service-Zustand (DoS-Zustand)
erzeugen.
CVE-2016-1977 CVE-2016-2790 CVE-2016-2791 CVE-2016-2792 CVE-2016-2793
CVE-2016-2794 CVE-2016-2795: Schwachstellen in Graphite2 ermöglichen
Ausführung beliebigen Programmcodes
Aufgrund mehrerer Schwachstellen in Graphite2 kann es bei der Verarbeitung
von Schriftarten zur Speicherkorruption kommen. Ein entfernter, nicht
authentifizierter Angreifer kann dadurch möglicherweise beliebigen
Programmcode ausführen und einen Denial-of-Service-Zustand (DoS-Zustand)
erzeugen.
CVE-2016-1974: Schwachstelle in Mozilla Firefox ermöglicht
Denial-of-Service-Angriff
In Mozilla Firefox und Mozilla Firefox ESR kann es nach einer fehlerhaften
Speicherallokation durch die Verarbeitung von Unicode-Zeichen im HTML Parser
zum Lesezugriff auf Speicher außerhalb des zugewiesenen Speicherbereichs
kommen. Ein entfernter, nicht authentifizierter Angreifer kann so einen
Denial-of-Service-Angriff (DoS-Angriff) durchführen und möglicherweise
Informationen ausspähen.
CVE-2016-1966: Schwachstelle in Mozilla Firefox ermöglicht Ausführen
beliebigen Programmcodes
In Mozilla Firefox und Mozilla Firefox ESR kann das Netscape Plugin
Application Programming Interface (NPAPI) Subsystem aufgrund einer
fehlerhaften Zeigerdereferenzierung abstürzen. Voraussetzung für einen
erfolgreichen Angriff ist ein speziell präpariertes NPAPI Plugin in
Verbindung mit einer Webseite, die entsprechenden Skript-Code beinhaltet.
Ein entfernter, nicht authentisierter Angreifer kann einen Absturz
herbeiführen (Denial-of-Service) oder beliebigen Programmcode ausführen.
CVE-2016-1964: Schwachstelle in Mozilla Firefox ermöglicht Ausführen
beliebigen Programmcodes
In Mozilla Firefox und Mozilla Firefox ESR können XML Transformationen zu
einem Fehler in der Speicherverwaltung (Use-after-Free) führen. Ein
entfernter, nicht authentisierter Angreifer kann einen Absturz herbeiführen
(Denial-of-Service) oder beliebigen Programmcode ausführen.
CVE-2016-1961: Schwachstelle in Mozilla Firefox ermöglicht Ausführen
beliebigen Programmcodes
In Mozilla Firefox und Mozilla Firefox ESR kann es unter nicht näher
beschriebenen Umständen in der Funktion SetBody von HTMLDocument zu einem
Fehler in der Speicherverwaltung (Use-after-Free) kommen. Ein entfernter,
nicht authentisierter Angreifer kann einen Absturz herbeiführen
(Denial-of-Service) oder beliebigen Programmcode ausführen.
CVE-2016-1960: Schwachstelle in Mozilla Firefox ermöglicht Ausführen
beliebigen Programmcodes
In Mozilla Firefox und Mozilla Firefox ESR kann das Parsen einer bestimmten
Menge von Tabellen-bezogenen Tags zu einem Fehler in der Speicherverwaltung
(Use-after-Free) im HTML5-Parser führen. Ein entfernter, nicht
authentisierter Angreifer kann einen Absturz herbeiführen
(Denial-of-Service) oder beliebigen Programmcode ausführen.
CVE-2016-1957: Schwachstelle in Mozilla Firefox ermöglicht
Denial-of-Service-Angriff
In der von Mozilla Firefox und Mozilla Firefox ESR genutzten Bibliothek
libstagefright kann es bei der Verarbeitung von MPEG4 Videos zu einem
Speicherleck kommen. Ein entfernter, nicht authentisierter Angreifer kann
einen Denial-of-Service-Angriff durchführen.
CVE-2016-1954: Schwachstelle in Mozilla Firefox ermöglicht Manipulation von
Dateien
Die Content Security Policy (CSP) Verletzungsberichte von Mozilla Firefox
und Mozilla Firefox ESR können von einer schädlichen Seite benutzt werden,
um Dateien auf dem System eines Benutzers zu überschreiben. Der Dateiinhalt
ist dabei auf das JSON Format des Berichts beschränkt. In vielen Fällen ist
das Überschreiben einer Datei nur zerstörerisch, da die Datei ihre Funktion
verliert. Die CSP Fehlerberichte können HTML-Fragmente enthalten, die von
Browsern dargestellt werden könnten. Falls ein Benutzer die Signaturen von
Add-Ons ausgeschaltet und ein unkomprimiertes Add-On installiert hat, könnte
die schädliche Seite Ressourcen des Add-Ons überschreiben, woraus
möglicherweise eine Privilegieneskalation resultieren könnte. Ein
entfernter, nicht authentisierter Angreifer kann Dateien manipulieren.
CVE-2016-1953: Schwachstellen in Mozilla Firefox ermöglichen Ausführen
beliebigen Programmcodes
Es existieren mehrere nicht näher spezifizierte Schwachstellen in Mozilla
Firefox aufgrund von Sicherheitsmängeln in der Speicherverwaltung der
Browser Engine. Dadurch kann unter bestimmten Umständen der Speicher
korrumpiert werden, wodurch ein entfernter, nicht authentifizierter
Angreifer in der Lage ist, beliebigen Programmcode zur Ausführung zu
bringen.
CVE-2016-1952: Schwachstellen in Mozilla Firefox ermöglichen Ausführen
beliebigen Programmcodes
Es existieren mehrere nicht näher spezifizierte Schwachstellen in Mozilla
Firefox und Mozilla Firefox ESR aufgrund von Sicherheitsmängeln in der
Speicherverwaltung der Browser Engine. Dadurch kann unter bestimmten
Umständen der Speicher korrumpiert werden, wodurch ein entfernter, nicht
authentifizierter Angreifer in der Lage ist, beliebigen Programmcode zur
Ausführung zu bringen.
CVE-2016-1950: Schwachstelle in Mozilla Firefox ermöglicht Ausführen
beliebigen Programmcodes mit Benutzerrechten
In den von Mozilla Firefox und Mozilla Firefox ESR genutzten Network
Security Services (NSS) Bibliotheken kann es beim Parsen bestimmter ASN.1
Strukturen zu einem Heap-basierten Speicherüberlauf kommen. Ein entfernter,
nicht authentisierter Angreifer kann mittels eines speziell präparierten
Zertifikats einen Absturz herbeiführen (Denial-of-Service) oder beliebigen
Programmcode mit Benutzerrechten ausführen.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2016-0457/
Mozilla Thunderbird Update Seite:
https://www.mozilla.org/de/thunderbird
Mozilla Foundation Security Advisory 2016-16:
https://www.mozilla.org/en-US/security/advisories/mfsa2016-16/
Mozilla Foundation Security Advisory 2016-17:
https://www.mozilla.org/en-US/security/advisories/mfsa2016-17/
Mozilla Foundation Security Advisory 2016-20:
https://www.mozilla.org/en-US/security/advisories/mfsa2016-20/
Mozilla Foundation Security Advisory 2016-23:
https://www.mozilla.org/en-US/security/advisories/mfsa2016-23/
Mozilla Foundation Security Advisory 2016-24:
https://www.mozilla.org/en-US/security/advisories/mfsa2016-24/
Mozilla Foundation Security Advisory 2016-27:
https://www.mozilla.org/en-US/security/advisories/mfsa2016-27/
Mozilla Foundation Security Advisory 2016-31:
https://www.mozilla.org/en-US/security/advisories/mfsa2016-31/
Mozilla Foundation Security Advisory 2016-34:
https://www.mozilla.org/en-US/security/advisories/mfsa2016-34/
Mozilla Foundation Security Advisory 2016-35:
https://www.mozilla.org/en-US/security/advisories/mfsa2016-35/
Mozilla Foundation Security Advisory 2016-37:
https://www.mozilla.org/en-US/security/advisories/mfsa2016-37/
Schwachstelle CVE-2016-1950 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-1950
Schwachstelle CVE-2016-1952 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-1952
Schwachstelle CVE-2016-1953 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-1953
Schwachstelle CVE-2016-1954 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-1954
Schwachstelle CVE-2016-1957 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-1957
Schwachstelle CVE-2016-1960 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-1960
Schwachstelle CVE-2016-1961 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-1961
Schwachstelle CVE-2016-1964 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-1964
Schwachstelle CVE-2016-1966 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-1966
Schwachstelle CVE-2016-1974 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-1974
Schwachstelle CVE-2016-1977 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-1977
Schwachstelle CVE-2016-2790 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-2790
Schwachstelle CVE-2016-2791 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-2791
Schwachstelle CVE-2016-2792 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-2792
Schwachstelle CVE-2016-2793 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-2793
Schwachstelle CVE-2016-2794 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-2794
Schwachstelle CVE-2016-2795 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-2795
Schwachstelle CVE-2016-2796 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-2796
Schwachstelle CVE-2016-2797 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-2797
Schwachstelle CVE-2016-2798 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-2798
Schwachstelle CVE-2016-2799 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-2799
Schwachstelle CVE-2016-2800 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-2800
Schwachstelle CVE-2016-2801 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-2801
Schwachstelle CVE-2016-2802 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-2802
Mozilla Thunderbird 38.7 – Known Vulnerabilities:
https://www.mozilla.org/en-US/security/known-vulnerabilities/thunderbird/#thunderbird38.7
Red Hat Security Advisory RHSA-2016:0460:
http://rhn.redhat.com/errata/RHSA-2016-0460.html
Debian Security Advisory DSA-3520-1:
https://www.debian.org/security/2016/dsa-3520
(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.
