[Fedora] Schwachstelle in DevIL bis einschliesslich Version 1.7.4 – FEDORA-2009-0867 / FEDORA-2009-0856

[Fedora] Schwachstelle in DevIL bis einschliesslich Version 1.7.4 - FEDORA-2009-0867 / FEDORA-2009-0856

Von

—–BEGIN PGP SIGNED MESSAGE—–

Liebe Kolleginnen und Kollegen,

soeben erreichte uns nachfolgendes Fedora Security Advisory. Wir geben
diese Informationen unveraendert an Sie weiter.

Die Developer’s Image Library (DevIL) ist eine Bibliothek zum Laden
verschiedener Bildformate.

CVE-2008-5262 – Buffer Overflows in der DevIL Funktion iGetHdrHeader()

In der DevIL Funktion iGetHdrHeader() lassen sich an mehreren Stellen
Buffer Overflows ausloesen. Angreifer koennen diese Schwachstelle dazu
ausnutzen, beliebigen Code mit den Rechten des DevIL Benutzers
auszufuehren, indem sie ihn dazu bringen, ein entsprechend aufgebautes
Radiance RGBE Bild mit einer DevIL Anwendung zu oeffnen.

Betroffen sind die folgenden Software Pakete und Plattformen:

Paket DevIL

Fedora 9
Fedora 10

Vom Hersteller werden ueberarbeitete Pakete zur Verfuegung gestellt.

Hersteller Advisory:
https://www.redhat.com/archives/fedora-package-announce/2009-January/msg00845.html
https://www.redhat.com/archives/fedora-package-announce/2009-January/msg00854.html

(c) der deutschen Zusammenfassung bei DFN-CERT Services GmbH; die
Verbreitung, auch auszugsweise, ist nur unter Hinweis auf den Urheber,
DFN-CERT Services GmbH, und nur zu nicht kommerziellen Zwecken
gestattet.

Mit freundlichen Gruessen,
Klaus Moeller, DFN-CERT

– —
Dipl. Inform. Klaus Moeller (Incident Response Team)
Phone: +49 40 808077-555, Fax: +49 40 808077-556

DFN-CERT Services GmbH, https://www.dfn-cert.de, Phone +49 40 808077-555
Sitz / Register: Hamburg, AG Hamburg, HRB 88805, Ust-IdNr.: DE 232129737
Sachsenstrase 5, 20097 Hamburg/Germany, CEO: Dr. Klaus-Peter Kossakowski

16. DFN-Workshop Sicherheit in vernetzten Systemen
https://www.dfn-cert.de/ws2009/

– ——————————————————————————–
Fedora Update Notification
FEDORA-2009-0867
2009-01-21 20:36:13.594709
– ——————————————————————————–

Name : DevIL
Product : Fedora 10
Version : 1.7.5
Release : 2.fc10
URL : http://openil.sourceforge.net/
Summary : A cross-platform image library
Description :
Developer’s Image Library (DevIL) is a programmer’s library to develop
applications with very powerful image loading capabilities, yet is easy for a
developer to learn and use. Ultimate control of images is left to the
developer, so unnecessary conversions, etc. are not performed. DevIL utilizes
a simple, yet powerful, syntax. DevIL can load, save, convert, manipulate,
filter and display a wide variety of image formats.

– ——————————————————————————–
Update Information:

– – Fix missing symbols (rh 480269) – Fix off by one error in CVE-2008-5262 check
(rh 479864)
– ——————————————————————————–
ChangeLog:

– ——————————————————————————–
References:

[ 1 ] Bug #479864 – CVE-2008-5262 DevIL: RGBE buffer overflow vulnerabilities
https://bugzilla.redhat.com/show_bug.cgi?id=479864
– ——————————————————————————–

This update can be installed with the “yum” update program. Use
su -c ‘yum update DevIL’ at the command line.
For more information, refer to “Managing Software with yum”,
available at http://docs.fedoraproject.org/yum/.

All packages are signed with the Fedora Project GPG key. More details on the
GPG keys used by the Fedora Project can be found at
http://fedoraproject.org/keys
– ——————————————————————————–

—–BEGIN PGP SIGNATURE—–
Version: GnuPG v1.4.2 (GNU/Linux)

iQEVAwUBSXia50hXCWfrVVdXAQHJFQf+K1rjX42WmTrb3AgDzZnblzfz4z/utgZv
80BG8PrzP53/ZxMTJYHVeifnGPd0e2yyVTlNmO3iDFja4pRqbc4E0EvxCNtwLMDg
olSDy2UhPo6ljU+U0f0RZcuPjbWpejrQMwyKSH2M0xj9nnRNODIrIob8liQygxIZ
ldoZcqnYtSZU5y1Et/rtP6zEDVHX580Ey9oSYfyt33jlu7//Pz7lNAXg8CPs3lHo
+yXjlkdD1+U5U4se55NWf1s/dS5L7fjORwDKtp/NRUz4H5SUrQINzXdd2si+FBNv
jimbQRIlA+ipgQBoHC/V+D3XlIUsgnQ+DOcm84QonsdnnJi/ggp1oQ==
=S8ew
—–END PGP SIGNATURE—–

© COMPUTEC MEDIA GmbH
Nach oben