Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

libexif <= 0.6.21 Betroffene Plattformen: Red Hat Fedora 26 Red Hat Fedora 27 Eine Schwachstelle in libexif ermöglicht einem entfernten, nicht authentisierten Angreifer einen Denial-of-Service-Angriff und das Ausspähen von Informationen. Für Fedora 26 und 27 stehen die Pakete 'libexif-0.6.21-14.fc26' und 'libexif-0.6.21-14.fc27' als Sicherheitsupdates im Status 'testing' zur Verfügung. Patch: Fedora Security Update FEDORA-2017-b24ef59f94 (Fedora 27, libexif-0.6.21-14.fc27) https://bodhi.fedoraproject.org/updates/FEDORA-2017-b24ef59f94

Patch:

Fedora Security Update FEDORA-2017-c28bfe0986 (Fedora 26,
libexif-0.6.21-14.fc26)

https://bodhi.fedoraproject.org/updates/FEDORA-2017-c28bfe0986

CVE-2016-6328: Schwachstelle in libexif ermöglicht Denial-of-Service-Angriff
und Ausspähen von Informationen

In der Bibliothek libexif bis Version 0.6.21 kann es beim Parsen von
Bilddateien bei der Verarbeitung von ‘MNOTE’-Daten zu einem Integerüberlauf
und in der Folge entweder zum Lesen außerhalb von Puffergrenzen (Heap
Out-of-Bounds Read) oder der Benutzung einer nicht initialisierten
Zeigervariable kommen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-2294/

Schwachstelle CVE-2016-6328 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-6328

Fedora Security Update FEDORA-2017-b24ef59f94 (Fedora 27,
libexif-0.6.21-14.fc27):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-b24ef59f94

Fedora Security Update FEDORA-2017-c28bfe0986 (Fedora 26,
libexif-0.6.21-14.fc26):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-c28bfe0986

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.