DFN-CERT-2016-0970 libav: Zwei Schwachstellen ermöglichen Denial-of-Service-Angriffe [Linux][Debian]

DFN-CERT-2016-0970 libav: Zwei Schwachstellen ermöglichen Denial-of-Service-Angriffe [Linux][Debian]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

libav < 11.7 Betroffene Plattformen: Debian Linux 8.4 Jessie Zwei Schwachstellen in libav ermöglichen einem entfernten, nicht authentifizierten Angreifer das Durchführen verschiedener Denial-of-Service-Angriffe. Möglicherweise können die Schwachstellen auch für weitere Angriffe, wie das Ausführen beliebigen Programmcodes ausgenutzt werden. Debian stellt für Debian Jessie (stable) ein Sicherheitsupdate für libav auf die Version 11.7 bereit. Patch: Debian Security Advisory DSA-3603-1 https://www.debian.org/security/2016/dsa-3603

CVE-2016-3062: Schwachstelle in libav ermöglicht Denial-of-Service-Angriff

Es existiert eine nicht näher genannte Schwachstelle in libav, welche beim
Verarbeiten von mp4-Dateien auftreten kann und eine Beschädigung des
Speichers verursacht. Ein entfernter, nicht authentifizierter Angreifer der
diese Schwachstelle erfolgreich ausnutzt, kann das Programm zum Absturz
(Denial-of-Service) oder möglicherweise sogar beliebigen Programmcode zur
Ausführung bringen.

CVE-2016-2326: Schwachstelle in FFmpeg ermöglicht Denial-of-Service-Angriff

In der Funktion ‘asf_write_packet’ in ‘libavformat/asfenc.c’ kann es bei der
Verarbeitung von Videodateien vom Typ ‘MOV’ zu einem Ganzzahlüberlauf
(Integer Overflow) kommen. Ein entfernter, nicht authentifizierter Angreifer
kann mit Hilfe speziell präparierter Zeitstempeldaten (Presentation
Timestamps) in einer Videodatei einen Denial-of-Service-Angriff und darüber
hinaus möglicherweise weitere Angriffe ausführen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2016-0970/

Schwachstelle CVE-2016-2326 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-2326

Debian Security Advisory DSA-3603-1:
https://www.debian.org/security/2016/dsa-3603

Schwachstelle CVE-2016-3062 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3062

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben