UPDATE: DFN-CERT-2017-0559 GraphicsMagick: Eine Schwachstelle ermöglicht einen Denial-of-Service-Angriff [Linux][SuSE]

UPDATE: DFN-CERT-2017-0559 GraphicsMagick: Eine Schwachstelle ermöglicht einen Denial-of-Service-Angriff [Linux][SuSE]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 2 (04.04.2017):
Für SUSE Linux Enterprise Debuginfo 11 SP4, SUSE Linux Enterprise Software
Development Kit 11 SP4 und SUSE Studio Onsite 1.3 stehen
Backport-Sicherheitsupdates zur Behebung der Schwachstelle bereit.
Version 1 (31.03.2017):
Neues Advisory

Betroffene Software:

GraphicsMagick <= 1.3.25 Betroffene Plattformen: SUSE Linux Enterprise Debuginfo 11 SP4 SUSE Linux Enterprise Software Development Kit 11 SP4 SUSE Studio Onsite 1.3 openSUSE Leap 42.1 openSUSE Leap 42.2 Eine Schwachstelle in GraphicsMagick ermöglicht es einem entfernten, nicht authentisierten Angreifer, der einen Benutzer dazu verleiten kann, eine schädlich präparierte Bilddatei des Typs 'TIFF' zu öffnen, einen Denial-of-Service (DoS)-Angriff durchzuführen. Für openSUSE Leap 42.2 und openSUSE Leap 42.1 stehen Backport-Sicherheitsupdates zur Behebung der Schwachstelle bereit. Patch: openSUSE Security Update openSUSE-SU-2017:0891-1 http://lists.opensuse.org/opensuse-updates/2017-03/msg00114.html

Patch:

openSUSE Security Update openSUSE-SU-2017:0894-1

http://lists.opensuse.org/opensuse-updates/2017-03/msg00116.html

Patch:

SUSE Security Update SUSE-SU-2017:0918-1

http://lists.suse.com/pipermail/sle-security-updates/2017-April/002782.html

CVE-2017-6335: Schwachstelle in GraphicsMagick ermöglicht
Denial-of-Service-Angriff

In GraphicsMagick bis einschließlich Version 1.3.25 existiert eine
Schwachstelle, durch die es bei der Verarbeitung einer CMYKA-TIFF-Bilddatei,
die vorgibt, weniger Samples pro Pixel zu bieten als tatsächlich gefordert,
zum Lesen über den allozierten Speicher auf dem Heap hinaus kommt (Heap
Out-of-bounds Read).

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-0559/

Schwachstelle CVE-2017-6335 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-6335

openSUSE Security Update openSUSE-SU-2017:0891-1:
http://lists.opensuse.org/opensuse-updates/2017-03/msg00114.html

openSUSE Security Update openSUSE-SU-2017:0894-1:
http://lists.opensuse.org/opensuse-updates/2017-03/msg00116.html

SUSE Security Update SUSE-SU-2017:0918-1:
http://lists.suse.com/pipermail/sle-security-updates/2017-April/002782.html

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben