Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

libXcursor < 1.1.15 Betroffene Plattformen: Canonical Ubuntu Linux 14.04 LTS Canonical Ubuntu Linux 16.04 LTS Canonical Ubuntu Linux 17.04 Canonical Ubuntu Linux 17.10 GNU/Linux Ein lokaler, nicht authentisierter Angreifer kann mit Hilfe speziell präparierter Mauszeigerbilddateien einen Ganzzahlüberlauf oder Vorzeichenfehler provozieren, daraus resultierend einen Heap-Pufferüberlauf beim Parsen der Bilddatei verursachen und in der Folge den X-Server zum Absturz bringen oder beliebigen Programmcode mit den Rechten des X-Servers ausführen. Die Schwachstelle kann auch von einem entfernten, nicht authentisierten Angreifer ausgenutzt werden, wenn er einen lokalen Benutzer zur Verwendung solcher Dateien verleitet. X.Org stellt die Versionen 1.1.15 von libXcursor als Sicherheitsupdate bereit. Canonical stellt für die Distributionen Ubuntu 17.10, 17.04, 16.04 LTS und 14.04 LTS Backport-Sicherheitsupdates für das Paket 'libxcursor' zur Verfügung. Patch: Ubuntu Security Notice USN-3501-1 http://www.ubuntu.com/usn/usn-3501-1/

CVE-2017-16612: Schwachstelle in libXcursor ermöglicht
Denial-of-Service-Angriff

X.Orgs libXCursor enthält vor Version 1.1.15 eine Schwachstelle aufgrund der
unzureichenden Beschränkung für Bilddimensionen auf 32-Bit-Systemen und der
fehlerhaften Typisierung der Längenangabe von Kommentarfeldern.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-2165/

Schwachstelle CVE-2017-16612 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-16612

Ubuntu Security Notice USN-3501-1:
http://www.ubuntu.com/usn/usn-3501-1/

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.