UPDATE: DFN-CERT-2017-1257 GraphicsMagick: Eine Schwachstelle ermöglicht einen Denial-of-Service-Angriff [Linux][Fedora][SuSE]

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 2 (28.07.2017):
Für openSUSE Leap 42.2 und 42.3 stehen Sicherheitsupdates zur Behebung der
Schwachstelle bereit.
Version 1 (21.07.2017):
Neues Advisory

Betroffene Software:

GraphicsMagick 1.3.26

Betroffene Plattformen:

openSUSE Leap 42.2
openSUSE Leap 42.3
Red Hat Fedora 24
Red Hat Fedora 25
Red Hat Fedora 26
Extra Packages for Red Hat Enterprise Linux 6
Extra Packages for Red Hat Enterprise Linux 7

Eine Schwachstelle in GraphicsMagick ermöglicht einem entfernten, nicht
authentisierten Angreifer die Durchführung eines Denial-of-Service-Angriffs
mittels einer speziell präparierten Bilddatei.

Für Fedora 24, 25 und 26 sowie Fedora EPEL 6 und EPEL 7 stehen
Sicherheitsupdates in Form des Pakets ‘GraphicsMagick-1.3.26-3’ zur
Verfügung. Die Sicherheitsupdates für Fedora 24, 25 und 26 befinden sich im
Status ‘testing’, die Sicherheitsupdates für Fedora EPEL 6 und 7 besitzen
noch den Status ‘pending’.

Patch:

Fedora Security Update FEDORA-2017-0446b53fd8 (Fedora 26,
GraphicsMagick-1.3.26-3.fc26)

https://bodhi.fedoraproject.org/updates/FEDORA-2017-0446b53fd8

Patch:

Fedora Security Update FEDORA-2017-6c52e2d731 (Fedora 25,
GraphicsMagick-1.3.26-3.fc25)

https://bodhi.fedoraproject.org/updates/FEDORA-2017-6c52e2d731

Patch:

Fedora Security Update FEDORA-2017-758fafed81 (Fedora 24,
GraphicsMagick-1.3.26-3.fc24)

https://bodhi.fedoraproject.org/updates/FEDORA-2017-758fafed81

Patch:

Fedora Security Update FEDORA-EPEL-2017-515cca9a02 (Fedora EPEL 6,
GraphicsMagick-1.3.26-3.el6)

https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2017-515cca9a02

Patch:

Fedora Security Update FEDORA-EPEL-2017-c39b9065fa (Fedora EPEL 7,
GraphicsMagick-1.3.26-3.el7)

https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2017-c39b9065fa

Patch:

openSUSE Security Update openSUSE-SU-2017:1985-1

http://lists.opensuse.org/opensuse-updates/2017-07/msg00101.html

CVE-2017-11403: Schwachstelle in GraphicsMagick ermöglicht
Denial-of-Service-Angriff

Die Funktion ‘ReadMNGImage’ in ‘coders/png.c’ von GraphicsMagick ruft die
Funktion ‘CloseBlob’ zu einem falschen Zeitpunkt im Programmfluss auf,
wodurch es zu einem ‘Use-after-Free’-Fehler kommt und das Programm abstürzt.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-1257/

Schwachstelle CVE-2017-11403 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-11403

Fedora Security Update FEDORA-2017-0446b53fd8 (Fedora 26,
GraphicsMagick-1.3.26-3.fc26):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-0446b53fd8

Fedora Security Update FEDORA-2017-6c52e2d731 (Fedora 25,
GraphicsMagick-1.3.26-3.fc25):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-6c52e2d731

Fedora Security Update FEDORA-2017-758fafed81 (Fedora 24,
GraphicsMagick-1.3.26-3.fc24):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-758fafed81

Fedora Security Update FEDORA-EPEL-2017-515cca9a02 (Fedora EPEL 6,
GraphicsMagick-1.3.26-3.el6):
https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2017-515cca9a02

Fedora Security Update FEDORA-EPEL-2017-c39b9065fa (Fedora EPEL 7,
GraphicsMagick-1.3.26-3.el7):
https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2017-c39b9065fa

openSUSE Security Update openSUSE-SU-2017:1985-1:
http://lists.opensuse.org/opensuse-updates/2017-07/msg00101.html

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.