Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Historie:
Version 2 (26.06.2017):
Für Fedora 24, 25 und 26 steht Graphite2 in der Version 1.3.10 als
Sicherheitsupdate im Status ‘testing’ beziehungsweise ‘stable’ (Fedora 26)
bereit.
Version 1 (23.06.2017):
Neues Advisory
Betroffene Software:
Graphite2
Betroffene Plattformen:
Debian Linux 8.8 Jessie
Red Hat Fedora 24
Red Hat Fedora 25
Red Hat Fedora 26
Mehrere Schwachstellen in Graphite2 ermöglichen einem entfernten, nicht
authentisierten Angreifer die Durchführung von Denial-of-Service
(DoS)-Angriffen.
Debian stellt für die Distribution Jessie (oldstable) ein Sicherheitsupdate
für ‘graphite2’ bereit. Für die stabile Distribution Stretch wurden die
Änderungen bereits vor der Veröffentlichung des initialen Release eingefügt.
Patch:
Debian Security Advisory DSA-3894-1
https://www.debian.org/security/2017/dsa-3894
Patch:
Fedora Security Update FEDORA-2017-03ef6281a8 (Fedora 25,
graphite2-1.3.10-1)
https://bodhi.fedoraproject.org/updates/FEDORA-2017-03ef6281a8
Patch:
Fedora Security Update FEDORA-2017-d739368f0d (Fedora 26,
graphite2-1.3.10-1)
https://bodhi.fedoraproject.org/updates/FEDORA-2017-d739368f0d
Patch:
Fedora Security Update FEDORA-2017-e0a9e51dd5 (Fedora 24,
graphite2-1.3.10-1)
https://bodhi.fedoraproject.org/updates/FEDORA-2017-e0a9e51dd5
CVE-2017-7771 CVE-2017-7772 CVE-2017-7773 CVE-2017-7774 CVE-2017-7775
CVE-2017-7776 CVE-2017-7777 CVE-2017-7778: Schwachstellen in Graphite2
ermöglichen Denial-of-Service-Angriffe
In der Graphite2-Bibliothek vor Version 1.3.10, die auch in Mozilla Firefox,
Firefox ESR und Thunderbird enthalten ist, existieren mehrere
Schwachstellen, die es mit Hilfe speziell präparierter Graphite-Schriftarten
ermöglichen durch das Verwenden nicht initialisierten Speichers, dem
Durchführen von Lese- sowie Schreibzugriffen außerhalb gültiger
Speichergrenzen (Out-of-bounds Read/Write, Heap-buffer-overflow Read/Write)
sowie dem Auslösen von Assertions Speicherschutzverletzungen auszulösen,
welche die Anwendung abstürzen lassen (Denial-of-Service). Ein entfernter,
nicht authentisierter Angreifer kann Denial-of-Service-Angriffe durchführen.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-1091/
Schwachstelle CVE-2017-7771 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-7771
Schwachstelle CVE-2017-7772 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-7772
Schwachstelle CVE-2017-7773 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-7773
Schwachstelle CVE-2017-7774 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-7774
Schwachstelle CVE-2017-7775 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-7775
Schwachstelle CVE-2017-7776 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-7776
Schwachstelle CVE-2017-7777 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-7777
Schwachstelle CVE-2017-7778 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-7778
Debian Security Advisory DSA-3894-1:
https://www.debian.org/security/2017/dsa-3894
Fedora Security Update FEDORA-2017-03ef6281a8 (Fedora 25, graphite2-1.3.10-1):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-03ef6281a8
Fedora Security Update FEDORA-2017-d739368f0d (Fedora 26, graphite2-1.3.10-1):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-d739368f0d
Fedora Security Update FEDORA-2017-e0a9e51dd5 (Fedora 24, graphite2-1.3.10-1):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-e0a9e51dd5
(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.
