Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 6 (18.04.2017):
Für openSUSE Leap 42.2 steht nun ebenfalls ein Sicherheitsupdate bereit.
Version 5 (10.04.2017):
Für die SUSE Linux Enterprise 12 SP1 Produkte Software Development Kit,
Server und Desktop sowie für die SUSE Linux Enterprise 12 SP2 Produkte
Software Development Kit, Server, Server for Raspberry Pi und Desktop
stehen Backport-Sicherheitsupdates zur Behebung der Schwachstelle bereit.
Version 4 (28.03.2017):
Debian stellt für die stabile Distribution Jessie und die zukünftig
stabile (upcoming stable) Version Stretch Sicherheitsupdates für GStreamer
zur Verfügung, um die Schwachstelle zu beheben. Wenngleich in dem Debian
Security Advisory nur die eine Schwachstelle referenziert wird, spricht
Debian von mehreren Schwachstellen, die auch für die Ausführung beliebigen
Programmcodes ausgenutzt werden können.
Version 3 (01.03.2017):
Für openSUSE Leap 42.1 steht ein Sicherheitsupdate für GStreamer zur
Verfügung, um die Schwachstelle zu beheben.
Version 2 (10.02.2017):
Das Sicherheitsupdate FEDORA-2017-504745c0b4 für ‘mingw-gstreamer1’ auf
Version 1.11.1 (Development Branch) befindet sich mittlerweile im Status
‘obsolete’, die Referenz wurde daher entfernt. Das Update auf Version
1.10.3 (Stable) befindet sich weiterhin im Status ‘testing’.
Version 1 (09.02.2017):
Neues Advisory

Betroffene Software:

GStreamer < 1.10.3 Betroffene Plattformen: SUSE Linux Enterprise Software Development Kit 12 SP1 SUSE Linux Enterprise Software Development Kit 12 SP2 Debian Linux 8.7 Jessie Debian Linux 9.0 Stretch openSUSE Leap 42.1 openSUSE Leap 42.2 SUSE Linux Enterprise Desktop 12 SP1 SUSE Linux Enterprise Desktop 12 SP2 SUSE Linux Enterprise Server 12 SP1 SUSE Linux Enterprise Server 12 SP2 SUSE Linux Enterprise Server 12 SP2 for Raspberry Pi Red Hat Fedora 25 Ein entfernter, nicht authentifizierter Angreifer kann mit Hilfe speziell präparierter Zeitinformationen auf Speicher außerhalb zugewiesener Speichergrenzen zugreifen und dadurch möglicherweise Informationen ausspähen oder einen Denial-of-Service (DoS)-Angriff durchführen. Für Fedora 25 steht mit dem Paket 'mingw-gstreamer1-1.11.1-1.fc25' ein Sicherheitsupdate im Status 'testing' und mit Paket 'mingw-gstreamer1-1.10.3-1.fc25' ein Sicherheitsupdate im Status 'pending' bereit. Der Versionszweig 1.11 von GStreamer ist ein Entwicklungszweig für die nächste stabile Version 1.12, während die Version 1.10.3 das letzte stabile Release darstellt. Patch: Fedora Security Update FEDORA-2017-c0564718ea (Fedora 25, mingw-gstreamer1-1.10.3-1.fc25) https://bodhi.fedoraproject.org/updates/FEDORA-2017-c0564718ea

Patch:

openSUSE Security Update openSUSE-SU-2017:0580-1

http://lists.opensuse.org/opensuse-updates/2017-02/msg00120.html

Patch:

Debian Security Advisory DSA-3822-1

https://www.debian.org/security/2017/dsa-3822

Patch:

SUSE Security Update SUSE-SU-2017:0966-1

http://lists.suse.com/pipermail/sle-security-updates/2017-April/002791.html

Patch:

SUSE Security Update SUSE-SU-2017:0967-1

http://lists.suse.com/pipermail/sle-security-updates/2017-April/002792.html

Patch:

openSUSE Security Update openSUSE-SU-2017:1031-1

http://lists.opensuse.org/opensuse-updates/2017-04/msg00058.html

CVE-2017-5838: Schwachstelle in GStreamer ermöglicht
Denial-of-Service-Angriff

Bei der Verarbeitung von Zeichenketten im Kontext von ISO 8601 (Datum und
Uhrzeit) kann es in der Funktion ‘gst_date_time_new_from_iso8601_string()’
in GStreamer zum Lesezugriff auf Speicher außerhalb zugewiesener
Speichergrenzen kommen (Out-of-bounds Read).

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-0223/

Schwachstelle CVE-2017-5838 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-5838

Fedora Security Update FEDORA-2017-c0564718ea (Fedora 25,
mingw-gstreamer1-1.10.3-1.fc25):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-c0564718ea

openSUSE Security Update openSUSE-SU-2017:0580-1:
http://lists.opensuse.org/opensuse-updates/2017-02/msg00120.html

Debian Security Advisory DSA-3822-1:
https://www.debian.org/security/2017/dsa-3822

SUSE Security Update SUSE-SU-2017:0966-1:
http://lists.suse.com/pipermail/sle-security-updates/2017-April/002791.html

SUSE Security Update SUSE-SU-2017:0967-1:
http://lists.suse.com/pipermail/sle-security-updates/2017-April/002792.html

openSUSE Security Update openSUSE-SU-2017:1031-1:
http://lists.opensuse.org/opensuse-updates/2017-04/msg00058.html

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 5 (10.04.2017):
Für die SUSE Linux Enterprise 12 SP1 Produkte Software Development Kit,
Server und Desktop sowie für die SUSE Linux Enterprise 12 SP2 Produkte
Software Development Kit, Server, Server for Raspberry Pi und Desktop
stehen Backport-Sicherheitsupdates zur Behebung der Schwachstelle bereit.
Version 4 (28.03.2017):
Debian stellt für die stabile Distribution Jessie und die zukünftig
stabile (upcoming stable) Version Stretch Sicherheitsupdates für GStreamer
zur Verfügung, um die Schwachstelle zu beheben. Wenngleich in dem Debian
Security Advisory nur die eine Schwachstelle referenziert wird, spricht
Debian von mehreren Schwachstellen, die auch für die Ausführung beliebigen
Programmcodes ausgenutzt werden können.
Version 3 (01.03.2017):
Für openSUSE Leap 42.1 steht ein Sicherheitsupdate für GStreamer zur
Verfügung, um die Schwachstelle zu beheben.
Version 2 (10.02.2017):
Das Sicherheitsupdate FEDORA-2017-504745c0b4 für ‘mingw-gstreamer1’ auf
Version 1.11.1 (Development Branch) befindet sich mittlerweile im Status
‘obsolete’, die Referenz wurde daher entfernt. Das Update auf Version
1.10.3 (Stable) befindet sich weiterhin im Status ‘testing’.
Version 1 (09.02.2017):
Neues Advisory

Betroffene Software:

GStreamer < 1.10.3 Betroffene Plattformen: SUSE Linux Enterprise Software Development Kit 12 SP1 SUSE Linux Enterprise Software Development Kit 12 SP2 Debian Linux 8.7 Jessie Debian Linux 9.0 Stretch openSUSE Leap 42.1 SUSE Linux Enterprise Desktop 12 SP1 SUSE Linux Enterprise Desktop 12 SP2 SUSE Linux Enterprise Server 12 SP1 SUSE Linux Enterprise Server 12 SP2 SUSE Linux Enterprise Server 12 SP2 for Raspberry Pi Red Hat Fedora 25 Ein entfernter, nicht authentifizierter Angreifer kann mit Hilfe speziell präparierter Zeitinformationen auf Speicher außerhalb zugewiesener Speichergrenzen zugreifen und dadurch möglicherweise Informationen ausspähen oder einen Denial-of-Service (DoS)-Angriff durchführen. Für Fedora 25 steht mit dem Paket 'mingw-gstreamer1-1.11.1-1.fc25' ein Sicherheitsupdate im Status 'testing' und mit Paket 'mingw-gstreamer1-1.10.3-1.fc25' ein Sicherheitsupdate im Status 'pending' bereit. Der Versionszweig 1.11 von GStreamer ist ein Entwicklungszweig für die nächste stabile Version 1.12, während die Version 1.10.3 das letzte stabile Release darstellt. Patch: Fedora Security Update FEDORA-2017-c0564718ea (Fedora 25, mingw-gstreamer1-1.10.3-1.fc25) https://bodhi.fedoraproject.org/updates/FEDORA-2017-c0564718ea

Patch:

openSUSE Security Update openSUSE-SU-2017:0580-1

http://lists.opensuse.org/opensuse-updates/2017-02/msg00120.html

Patch:

Debian Security Advisory DSA-3822-1

https://www.debian.org/security/2017/dsa-3822

Patch:

SUSE Security Update SUSE-SU-2017:0966-1

http://lists.suse.com/pipermail/sle-security-updates/2017-April/002791.html

Patch:

SUSE Security Update SUSE-SU-2017:0967-1

http://lists.suse.com/pipermail/sle-security-updates/2017-April/002792.html

CVE-2017-5838: Schwachstelle in GStreamer ermöglicht
Denial-of-Service-Angriff

Bei der Verarbeitung von Zeichenketten im Kontext von ISO 8601 (Datum und
Uhrzeit) kann es in der Funktion ‘gst_date_time_new_from_iso8601_string()’
in GStreamer zum Lesezugriff auf Speicher außerhalb zugewiesener
Speichergrenzen kommen (Out-of-bounds Read).

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-0223/

Schwachstelle CVE-2017-5838 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-5838

Fedora Security Update FEDORA-2017-c0564718ea (Fedora 25,
mingw-gstreamer1-1.10.3-1.fc25):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-c0564718ea

openSUSE Security Update openSUSE-SU-2017:0580-1:
http://lists.opensuse.org/opensuse-updates/2017-02/msg00120.html

Debian Security Advisory DSA-3822-1:
https://www.debian.org/security/2017/dsa-3822

SUSE Security Update SUSE-SU-2017:0966-1:
http://lists.suse.com/pipermail/sle-security-updates/2017-April/002791.html

SUSE Security Update SUSE-SU-2017:0967-1:
http://lists.suse.com/pipermail/sle-security-updates/2017-April/002792.html

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 4 (28.03.2017):
Debian stellt für die stabile Distribution Jessie und die zukünftig
stabile (upcoming stable) Version Stretch Sicherheitsupdates für GStreamer
zur Verfügung, um die Schwachstelle zu beheben. Wenngleich in dem Debian
Security Advisory nur die eine Schwachstelle referenziert wird, spricht
Debian von mehreren Schwachstellen, die auch für die Ausführung beliebigen
Programmcodes ausgenutzt werden können.
Version 3 (01.03.2017):
Für openSUSE Leap 42.1 steht ein Sicherheitsupdate für GStreamer zur
Verfügung, um die Schwachstelle zu beheben.
Version 2 (10.02.2017):
Das Sicherheitsupdate FEDORA-2017-504745c0b4 für ‘mingw-gstreamer1’ auf
Version 1.11.1 (Development Branch) befindet sich mittlerweile im Status
‘obsolete’, die Referenz wurde daher entfernt. Das Update auf Version
1.10.3 (Stable) befindet sich weiterhin im Status ‘testing’.
Version 1 (09.02.2017):
Neues Advisory

Betroffene Software:

GStreamer < 1.10.3 Betroffene Plattformen: Debian Linux 8.7 Jessie Debian Linux 9.0 Stretch openSUSE Leap 42.1 Red Hat Fedora 25 Ein entfernter, nicht authentifizierter Angreifer kann mit Hilfe speziell präparierter Zeitinformationen auf Speicher außerhalb zugewiesener Speichergrenzen zugreifen und dadurch möglicherweise Informationen ausspähen oder einen Denial-of-Service (DoS)-Angriff durchführen. Für Fedora 25 steht mit dem Paket 'mingw-gstreamer1-1.11.1-1.fc25' ein Sicherheitsupdate im Status 'testing' und mit Paket 'mingw-gstreamer1-1.10.3-1.fc25' ein Sicherheitsupdate im Status 'pending' bereit. Der Versionszweig 1.11 von GStreamer ist ein Entwicklungszweig für die nächste stabile Version 1.12, während die Version 1.10.3 das letzte stabile Release darstellt. Patch: Fedora Security Update FEDORA-2017-c0564718ea (Fedora 25, mingw-gstreamer1-1.10.3-1.fc25) https://bodhi.fedoraproject.org/updates/FEDORA-2017-c0564718ea

Patch:

openSUSE Security Update openSUSE-SU-2017:0580-1

http://lists.opensuse.org/opensuse-updates/2017-02/msg00120.html

Patch:

Debian Security Advisory DSA-3822-1

https://www.debian.org/security/2017/dsa-3822

CVE-2017-5838: Schwachstelle in GStreamer ermöglicht
Denial-of-Service-Angriff

Bei der Verarbeitung von Zeichenketten im Kontext von ISO 8601 (Datum und
Uhrzeit) kann es in der Funktion ‘gst_date_time_new_from_iso8601_string()’
in GStreamer zum Lesezugriff auf Speicher außerhalb zugewiesener
Speichergrenzen kommen (Out-of-bounds Read).

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-0223/

Schwachstelle CVE-2017-5838 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-5838

Fedora Security Update FEDORA-2017-c0564718ea (Fedora 25,
mingw-gstreamer1-1.10.3-1.fc25):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-c0564718ea

openSUSE Security Update openSUSE-SU-2017:0580-1:
http://lists.opensuse.org/opensuse-updates/2017-02/msg00120.html

Debian Security Advisory DSA-3822-1:
https://www.debian.org/security/2017/dsa-3822

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.