Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 2 (18.04.2017):
Für Fedora 26 steht mit dem Paket ‘mupdf-1.10a-5.fc26’ ein
Sicherheitsupdate zur Behebung der Schwachstelle im Status ‘testing’
bereit.
Version 1 (10.04.2017):
Neues Advisory

Betroffene Software:

MuPDF

Betroffene Plattformen:

Red Hat Fedora 25
Red Hat Fedora 26

Ein entfernter, nicht authentisierter Angreifer kann eine Schwachstelle in
MuPDF mit Hilfe einer speziell präparierten PDF-Datei für einen
Denial-of-Service-Angriff ausnutzen.

Für Fedora 25 steht ein Sicherheitsupdate für MuPDF im Status ‘testing’
bereit.

Patch:

Fedora Security Update FEDORA-2017-2d11503623 (mupdf-1.10a-5.fc25)

https://bodhi.fedoraproject.org/updates/FEDORA-2017-2d11503623

Patch:

Fedora Security Update FEDORA-2017-8150618774 (mupdf-1.10a-5.fc26)

https://bodhi.fedoraproject.org/updates/FEDORA-2017-8150618774

CVE-2016-10221: Schwachstelle in MuPDF ermöglicht Denial-of-Service-Angriff

Über die Funktion ‘count_entries’ innerhalb von ‘pdf-layer.c’ in MuPDF
lassen sich Speicherressourcen von MuPDF in einer Rekursion erschöpfen
(Stack Consumption).

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-0601/

Schwachstelle CVE-2016-10221 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-10221

Fedora Security Update FEDORA-2017-2d11503623 (mupdf-1.10a-5.fc25):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-2d11503623

Fedora Security Update FEDORA-2017-8150618774 (mupdf-1.10a-5.fc26):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-8150618774

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.