—–BEGIN PGP SIGNED MESSAGE—–
Hash: SHA1
Liebe Kolleginnen und Kollegen,
soeben erreichte uns nachfolgendes Fedora Security Advisory. Wir geben
diese Informationen unveraendert an Sie weiter.
CVE-2011-2485 – Schwachstelle in GDK Pixbuf
In der Funktion gdk_pixbuf__gif_image_load() der GIF-Image-Laderoutine
werden nicht alle Rueckgabewerte von Unterroutinen korrekt gehandhabt.
Dadurch ist es moeglich, dass zurueckgegebene Strukturen nur teilweise
initialisiert wurden und somit sehr grosse Werte in einigen Variablen
enthalten sein koennen. Einem entfernten Angreifer ist es damit
moeglich, falls er einen Nutzer dazu bringt eine praeparierte GIF-Datei
zu oeffnen, die verwendete Anwendung zum Abbruch zu zwingen, da durch
die Variablen in der Struktur zu viel Speicher angefordert wird.
Betroffen sind die folgenden Software Pakete und Plattformen:
Paket gdk-pixbuf2
Fedora 15
Vom Hersteller werden ueberarbeitete Pakete zur Verfuegung gestellt.
(c) der deutschen Zusammenfassung bei DFN-CERT Services GmbH; die
Verbreitung, auch auszugsweise, ist nur unter Hinweis auf den Urheber,
DFN-CERT Services GmbH, und nur zu nicht kommerziellen Zwecken
gestattet.
Mit freundlichen Gruessen,
Timo Schulz
– —
Timo Schulz, M.Sc. (Incident Response Team)
DFN-CERT Services GmbH, https://www.dfn-cert.de, Phone +49 40 808077-590
Sitz / Register: Hamburg, AG Hamburg, HRB 88805, Ust-IdNr.: DE 232129737
Sachsenstrasse 5, 20097 Hamburg/Germany, CEO: Dr. Klaus-Peter Kossakowski
Automatische Warnmeldungen: https://www.cert.dfn.de/autowarn
– ——————————————————————————–
Fedora Update Notification
FEDORA-2011-8672
2011-06-24 17:36:03
– ——————————————————————————–
Name : gdk-pixbuf2
Product : Fedora 15
Version : 2.23.3
Release : 2.fc15
URL : http://www.gt.org
Summary : An image loading library
Description :
gdk-pixbuf is an image loading library that can be extended by loadable
modules for new image formats. It is used by toolkits such as GTK+ or
clutter.
– ——————————————————————————–
Update Information:
It was found that gdk-pixbuf GIF image loader gdk_pixbuf__gif_image_load() routine did not properly handle certain return values from their subroutines. A remote attacker could provide a specially-crafted GIF image, which once opened in an application, linked against gdk-pixbuf would lead to gdk-pixbuf to return partially initialized pixbuf structure, possibly having huge width and height, leading to that particular application termination due excessive memory use.
The CVE identifier of CVE-2011-2485 has been assigned to this issue.
– ——————————————————————————–
ChangeLog:
* Fri Jun 24 2011 Matthias Clasen
– – Don’t return a partially initialized pixbuf structure
from the GIF loader (CVE-2011-2485)
– ——————————————————————————–
This update can be installed with the “yum” update program. Use
su -c ‘yum update gdk-pixbuf2’ at the command line.
For more information, refer to “Managing Software with yum”,
available at http://docs.fedoraproject.org/yum/.
All packages are signed with the Fedora Project GPG key. More details on the
GPG keys used by the Fedora Project can be found at
https://fedoraproject.org/keys
– ——————————————————————————–
—–BEGIN PGP SIGNATURE—–
Version: GnuPG v2.0.16 (GNU/Linux)
iQEcBAEBAgAGBQJOCd+fAAoJEJtyb8U7iGZBPDcH+gNlJHdLcHlZghMOe1jAxIME
EU5E3klsIOxyFJonLYQ7p+IIEobi7yhDobDmFxSoC/EKGIi6VuER6/b0RJ6Kh1P+
X2AccVePLodceHy+ZcUWfjODQxN2Yc2WaVXqjR5JmEuyQenPGc73CxFi6XNbK7md
V3XgzpXY+00ARkPMeb12MqXPl6pi6ev6B3W7dhsEf4app6WhRaiRv5vwj2+XReGr
fXJv9CPwTU4suvOQgWiC+cU/vpuHeRP7JsBCRNwc6ycpb3N38e1PTJQ32LkNkPTw
DR909Dql1udNBReK2/1F5cIYKcqfiJ/ncDvV1l25ZoTJZirccMq9vYyJZDScGRc=
=tVE+
—–END PGP SIGNATURE—–
