Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 3 (18.08.2016):
Canonical stellt für die Distributionen Ubuntu 16.04 LTS, Ubuntu 14.04 LTS
und Ubuntu 12.04 LTS ebenfalls Sicherheitsupdates bereit.
Version 2 (09.08.2016):
Debian stellt für die Distribution Jessie (stable) ein Sicherheitsupdate
bereit.
Version 1 (08.08.2016):
Neues Advisory

Betroffene Software:

fontconfig

Betroffene Plattformen:

Canonical Ubuntu Linux 12.04 LTS
Canonical Ubuntu Linux 14.04 LTS
Canonical Ubuntu Linux 16.04 LTS
Debian Linux 8.5 Jessie
Red Hat Fedora 23
Red Hat Fedora 24

Eine Schwachstelle in fontconfig ermöglicht einem lokalen, nicht
authentisierten Angreifer das Ausführen beliebigen Programmcodes und
möglicherweise das Eskalieren von Privilegien.

Für Fedora 23 und 24 stehen Sicherheitsupdates in Form der Pakete
‘fontconfig-2.11.94-5.fc23’ bzw. ‘fontconfig-2.11.94-7.fc24’ im Status
‘testing’ bereit.

Patch:

Fedora Security Update FEDORA-2016-6802f2e52a (Fedora 23,
fontconfig-2.11.94)

https://bodhi.fedoraproject.org/updates/FEDORA-2016-6802f2e52a

Patch:

Fedora Security Update FEDORA-2016-e23ab56ce3 (Fedora 24,
fontconfig-2.11.94)

https://bodhi.fedoraproject.org/updates/FEDORA-2016-e23ab56ce3

Patch:

Debian Security Advisory DSA-3644-1

https://www.debian.org/security/2016/dsa-3644

Patch:

Ubuntu Security Notice USN-3063-1

http://www.ubuntu.com/usn/usn-3063-1/

CVE-2016-5384: Schwachstelle in fontconfig ermöglicht Ausführen beliebigen
Programmcodes

In fontconfig existiert eine Schwachstelle aufgrund fehlerhafter Überprüfung
von ‘cache’-Dateien, wodurch es möglich ist, beliebige ‘free’-Aufrufe zu
tätigen und dadurch Speicher doppelt freizugeben. Durch Ausnutzen dieser
Schwachstelle kann beliebiger Programmcode zur Ausführung gebracht und
möglicherweise eine Privilegieneskalation bewirkt werden.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2016-1278/

Fedora Security Update FEDORA-2016-6802f2e52a (Fedora 23, fontconfig-2.11.94):
https://bodhi.fedoraproject.org/updates/FEDORA-2016-6802f2e52a

Fedora Security Update FEDORA-2016-e23ab56ce3 (Fedora 24, fontconfig-2.11.94):
https://bodhi.fedoraproject.org/updates/FEDORA-2016-e23ab56ce3

Schwachstelle CVE-2016-5384 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-5384

Debian Security Advisory DSA-3644-1:
https://www.debian.org/security/2016/dsa-3644

Ubuntu Security Notice USN-3063-1:
http://www.ubuntu.com/usn/usn-3063-1/

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 2 (09.08.2016):
Debian stellt für die Distribution Jessie (stable) ein Sicherheitsupdate
bereit.
Version 1 (08.08.2016):
Neues Advisory

Betroffene Software:

fontconfig

Betroffene Plattformen:

Debian Linux 8.5 Jessie
Red Hat Fedora 23
Red Hat Fedora 24

Eine Schwachstelle in fontconfig ermöglicht einem lokalen, nicht
authentisierten Angreifer das Ausführen beliebigen Programmcodes und
möglicherweise das Eskalieren von Privilegien.

Für Fedora 23 und 24 stehen Sicherheitsupdates in Form der Pakete
‘fontconfig-2.11.94-5.fc23’ bzw. ‘fontconfig-2.11.94-7.fc24’ im Status
‘testing’ bereit.

Patch:

Fedora Security Update FEDORA-2016-6802f2e52a (Fedora 23,
fontconfig-2.11.94)

https://bodhi.fedoraproject.org/updates/FEDORA-2016-6802f2e52a

Patch:

Fedora Security Update FEDORA-2016-e23ab56ce3 (Fedora 24,
fontconfig-2.11.94)

https://bodhi.fedoraproject.org/updates/FEDORA-2016-e23ab56ce3

Patch:

Debian Security Advisory DSA-3644-1

https://www.debian.org/security/2016/dsa-3644

CVE-2016-5384: Schwachstelle in fontconfig ermöglicht Ausführen beliebigen
Programmcodes

In fontconfig existiert eine Schwachstelle aufgrund fehlerhafter Überprüfung
von ‘cache’-Dateien, wodurch es möglich ist, beliebige ‘free’-Aufrufe zu
tätigen und dadurch Speicher doppelt freizugeben. Durch Ausnutzen dieser
Schwachstelle kann beliebiger Programmcode zur Ausführung gebracht und
möglicherweise eine Privilegieneskalation bewirkt werden.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2016-1278/

Fedora Security Update FEDORA-2016-6802f2e52a (Fedora 23, fontconfig-2.11.94):
https://bodhi.fedoraproject.org/updates/FEDORA-2016-6802f2e52a

Fedora Security Update FEDORA-2016-e23ab56ce3 (Fedora 24, fontconfig-2.11.94):
https://bodhi.fedoraproject.org/updates/FEDORA-2016-e23ab56ce3

Schwachstelle CVE-2016-5384 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-5384

Debian Security Advisory DSA-3644-1:
https://www.debian.org/security/2016/dsa-3644

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.