UPDATE: DFN-CERT-2014-1620 Graphviz: Eine Schwachstelle ermöglicht das Ausführen beliebigen Programmcodes [Linux][Debian][SuSE]

UPDATE: DFN-CERT-2014-1620 Graphviz: Eine Schwachstelle ermöglicht das Ausführen beliebigen Programmcodes [Linux][Debian][SuSE]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 3 (06.12.2017):
Für openSUSE Leap 42.2 und 42.3 stehen Backport-Sicherheitsupdates für
‘graphviz’ auf Version 2.38.0-9 zur Behebung der Schwachstelle bereit.
Version 2 (12.12.2014):
Für die Debian Distribution Wheezy steht ein Sicherheitsupdate bereit, für
Debian Jessie soll es in Kürze verfügbar sein.
Version 1 (10.12.2014):
Neues Advisory

Betroffene Software:

Graphviz 2.38.0

Betroffene Plattformen:

Canonical Ubuntu Linux 10.04 Lts
Canonical Ubuntu Linux 12.04 LTS (ESM)
Canonical Ubuntu Linux 14.04 Lts
Canonical Ubuntu Linux 14.10
Debian Linux 7.7 Wheezy
openSUSE Leap 42.2
openSUSE Leap 42.3

Eine Schwachstelle in Graphviz ermöglicht einem entfernten, nicht
authentifizierten Angreifer einen Denial-of-Service-Angriff durchzuführen
oder beliebigen Programmcode auszuführen. Für Ubuntu 14.10 wird ein neues
Paket von graphviz 2.38.0, für Ubuntu 14.04 LTS von graphviz 2.36.0, für
Ubuntu 12.04 LTS von graphviz 2.26.3 und für Ubuntu 10.04 LTS von graphviz
2.20.2 bereitgestellt.

Patch:

Ubuntu Security Notice USN-2435-1

http://www.ubuntu.com/usn/usn-2435-1/

Patch:

Debian Security Advisory DSA-3098-1

https://www.debian.org/security/2014/dsa-3098

Patch:

SUSE Security Update openSUSE-SU-2017:3222-1

http://lists.opensuse.org/opensuse-updates/2017-12/msg00025.html

CVE-2014-9157: Schwachstelle in Graphviz ermöglicht das Ausführen von
beliebigem Programmcode

Eine Schwachstelle in Graphviz im Zusammenhang mit der “yyerror”-Funktion in
der Datei lib/cgraph/scan.l führt dazu, dass es über nicht näher
beschriebene Angriffsvektoren, die im Zusammenhang mit
Formatierungsparametern bei der Ausgabe einer Fehlermeldung stehen, beim
Öffnen einer präparierten Datei zu einem Anwendungsabsturz oder der
Ausführung beliebigen Programmcodes kommen kann.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-1620/

Schwachstelle CVE-2014-9157 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-9157

Ubuntu Security Notice USN-2435-1:
http://www.ubuntu.com/usn/usn-2435-1/

Debian Security Advisory DSA-3098-1:
https://www.debian.org/security/2014/dsa-3098

SUSE Security Update openSUSE-SU-2017:3222-1:
http://lists.opensuse.org/opensuse-updates/2017-12/msg00025.html

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben