DFN-CERT-2017-1861 GNU Libextractor: Mehrere Schwachstellen ermöglichen verschiedene Denial-of-Service-Angriffe [Linux][Fedora]

DFN-CERT-2017-1861 GNU Libextractor: Mehrere Schwachstellen ermöglichen verschiedene Denial-of-Service-Angriffe [Linux][Fedora]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

GNU Libextractor < 1.6 Betroffene Plattformen: Red Hat Fedora 25 Red Hat Fedora 26 Red Hat Fedora 27 Mehrere Schwachstellen in GNU Libextractor ermöglichen einem entfernten, nicht authentisierten Angreifer die Durchführung verschiedener Denial-of-Service (DoS)-Angriffe. Für Fedora 25, 26 und 27 stehen aktualisierte 'libextractor'-Pakete in der Version 1.6 im Status 'testing' zur Verfügung. Patch: Fedora Security Update FEDORA-2017-4a42419c16 (Fedora 26, libextractor-1.6-1) https://bodhi.fedoraproject.org/updates/FEDORA-2017-4a42419c16

Patch:

Fedora Security Update FEDORA-2017-611d7cc98b (Fedora 27,
libextractor-1.6-1)

https://bodhi.fedoraproject.org/updates/FEDORA-2017-611d7cc98b

Patch:

Fedora Security Update FEDORA-2017-8cca61e2fa (Fedora 25,
libextractor-1.6-1)

https://bodhi.fedoraproject.org/updates/FEDORA-2017-8cca61e2fa

RED-HAT-BUG-ID-1501695: Schwachstelle in GNU Libextractor ermöglicht
Denial-of-Service-Angriff

In der Datei ‘nsf_extractor.c’ in GNU Libextractor kann es bei der
Verarbeitung einer NSF-Datei zur Dereferenzierung eines NULL-Zeigers
kommen. Ein entfernter, nicht authentisierter Angreifer kann einen
Denial-of-Service (DoS)-Angriff durchführen.

RED-HAT-BUG-ID-1499600: Schwachstelle in GNU Libextractor ermöglicht
Denial-of-Service-Angriff

In GNU Libextractor besteht eine nicht näher beschriebene Schwachstelle,
durch die es bei der Verarbeitung eines von der Bibliothek ‘libFlac’
weitergegebenen Zeigers zur Dereferenzierung eines NULL-Zeigers kommen kann.
Ein entfernter, nicht authentisierter Angreifer kann einen Denial-of-Service
(DoS)-Angriff durchführen.

RED-HAT-BUG-ID-1499599: Schwachstelle in GNU Libextractor ermöglicht
Denial-of-Service-Angriff

In der Funktion ‘EXTRACTOR_wav_extract_method’ in ‘wav_extractor.c’ in GNU
Libextractor besteht eine Schwachstelle aufgrund unzureichender Validierung
von Eingaben. Der Wert des Feldes ‘sample_rate’ wird nicht geprüft. Ein
entfernter, nicht authentisierter Angreifer kann mit Hilfe einer
präparierten Datei ‘sample_rate’ auf Null setzen und so einen
Denial-of-Service (DoS)-Angriff durchführen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-1861/

Fedora Security Update FEDORA-2017-4a42419c16 (Fedora 26, libextractor-1.6-1):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-4a42419c16

Fedora Security Update FEDORA-2017-611d7cc98b (Fedora 27, libextractor-1.6-1):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-611d7cc98b

Fedora Security Update FEDORA-2017-8cca61e2fa (Fedora 25, libextractor-1.6-1):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-8cca61e2fa

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben