DFN-CERT-2017-0667 libsndfile: Mehrere Schwachstellen ermöglichen Denial-of-Service-Angriffe [Linux][SuSE]

DFN-CERT-2017-0667 libsndfile: Mehrere Schwachstellen ermöglichen Denial-of-Service-Angriffe [Linux][SuSE]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Gentoo libsndfile

Betroffene Plattformen:

SUSE Linux Enterprise Debuginfo 11 SP4
SUSE Linux Enterprise Software Development Kit 11 SP4
SUSE Linux Enterprise Server 11 SP4

Mehrere Schwachstellen in libsndfile ermöglichen einem entfernten, nicht
authentisierten Angreifer mit Hilfe bösartig präparierter FLAC-Dateien die
Durchführung von Denial-of-Service-Angriffen.

Für die SUSE Linux Enterprise Produkte Software Development Kit, Server und
Debuginfo in Version 11 SP4 stehen Backport-Sicherheitsupdates bereit.

Patch:

SUSE Security Update SUSE-SU-2017:1030-1

http://lists.suse.com/pipermail/sle-security-updates/2017-April/002804.html

CVE-2017-7742: Schwachstelle in libsndfile ermöglicht
Denial-of-Service-Angriff

In libsndfile vor der Version 1.0.28 besteht eine nicht näher beschriebene
Schwachstelle in der Funktion ‘flac_buffer_copy’, die ein entfernter, nicht
authentisierter Angreifer mit Hilfe einer bösartig präparierten FLAC-Datei
ausnutzen kann, um eine Speicherschutzverletzung auszulösen (Lesezugriffe
außerhalb zulässiger Speichergrenzen), wodurch ein Denial-of-Service
(DoS)-Zustand eintritt.

CVE-2017-7741: Schwachstelle in libsndfile ermöglicht
Denial-of-Service-Angriff

In libsndfile vor der Version 1.0.28 besteht eine nicht näher beschriebene
Schwachstelle in der Funktion ‘flac_buffer_copy’, die ein entfernter, nicht
authentisierter Angreifer mit einer bösartig präparierten FLAC-Datei
ausnutzen kann, um eine Speicherschutzverletzung auszulösen (Schreibzugriffe
außerhalb zulässiger Speichergrenzen), wodurch ein Denial-of-Service
(DoS)-Zustand eintritt.

CVE-2017-7585: Schwachstelle in libsndfile ermöglicht
Denial-of-Service-Angriff

In libsndfile vor der Version 1.0.28 besteht eine nicht näher beschriebene
Schwachstelle in der Funktion ‘flac_buffer_copy’, die ein entfernter, nicht
authentisierter Angreifer mit einer bösartig präparierten FLAC-Datei
ausnutzen kann, um den Stack-basierten Pufferspeicher zum Überlauf zu
bringen und einen Denial-of-Service (DoS)-Zustand zu bewirken.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-0667/

Schwachstelle CVE-2017-7585 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-7585

Schwachstelle CVE-2017-7741 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-7741

Schwachstelle CVE-2017-7742 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-7742

SUSE Security Update SUSE-SU-2017:1030-1:
http://lists.suse.com/pipermail/sle-security-updates/2017-April/002804.html

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben