Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Gcab < 1.0 Betroffene Plattformen: Red Hat Fedora 27 Ein entfernter, nicht authentisierter Angreifer kann einen Denial-of-Service (DoS)-Angriff durchführen, indem er das Programm zum Absturz bringt, oder möglicherweise beliebigen Programmcode zur Ausführung bringen. Voraussetzung ist, dass es dem Angreifer gelingt, einen Benutzer dazu zu verleiten eine manipulierte CAB-Datei zu öffnen / zu entpacken. GNOME stellt das offizielle Release Gcab Version 1.0 zur Behebung der Schwachstelle bereit. Für Fedora 27 steht ein Sicherheitsupdate in Form des Paketes 'gcab-1.0-1.fc27' bereit, welches sich derzeit noch im Status 'pending' befindet. Patch: Fedora Security Update FEDORA-2018-87971e3c98 (Fedora 27, gcab-1.0-1.fc27) https://bodhi.fedoraproject.org/updates/FEDORA-2018-87971e3c98

Patch:

Gcab Release 1.0 (Gnome)

https://git.gnome.org/browse/gcab/tag/?h=v1.0

CVE-2018-5345: Schwachstelle in gcab ermöglicht u.a. Ausführung beliebigen
Programmcodes

In gcab bis einschließlich Version 0.7.4 existiert eine Schwachstelle
aufgrund einer unzureichenden Prüfung eingelesener CAB-Dateien, wodurch es
unter Umständen zu einem Pufferüberlauf des Stack-basierten Speichers
(Stack-based Buffer Overflow) kommen kann.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2018-0158/

Schwachstelle CVE-2018-5345 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2018-5345

Fedora Security Update FEDORA-2018-87971e3c98 (Fedora 27, gcab-1.0-1.fc27):
https://bodhi.fedoraproject.org/updates/FEDORA-2018-87971e3c98

Gcab Release 1.0 (Gnome):
https://git.gnome.org/browse/gcab/tag/?h=v1.0

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.