DFN-CERT-2011-1867 Schwachstellen in der Bibliothek Freetype2 [Linux][SuSE]

DFN-CERT-2011-1867 Schwachstellen in der Bibliothek Freetype2 [Linux][SuSE]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Paket freetype2

Betroffene Plattformen:

SUSE Linux Enterprise Software Development Kit 11 SP1
SUSE Linux Enterprise Server 11 SP1 for VMware
SUSE Linux Enterprise Server 11 SP1
SUSE Linux Enterprise Desktop 11 SP1

Schwachstellen in der Bibliothek Freetype2 ermöglichen einem entfernten
Angreifer eine Anwendung, die auf die Bibliothek zugreift, zum Absturz zu
bringen oder schlimmstenfalls beliebige Befehle mit ihren Rechten
auszufÃŒhren.

Software Upgrade:

Der Hersteller stellt Updates zur Behebung der Schwachstelle bereit.

http://download.opensuse.org/update/

CVE-2011-3439: Schwachstelle in FreeType

Die EingabeÃŒberprÃŒfung von CID-keyed Schriftarten durch FreeType ist
fehlerhaft. Dies ermöglicht einem Angreifer, die Applikation zum Absturz zu
bringen oder im schlimmsten Fall beliebigen Code mit den Rechten der
Anwendung auszufÌhren, wenn er es schafft, dass eine speziell prÀparierte
Schriftendatei von der Anwendung geladen wird.

CVE-2011-3256: Schwachstelle in der Bibliothek Freetype2

In der Bibliothek Freetype2 werden Fonts in unsicherer Weise behandelt. In
TT_Vary_Get_Glyph_Deltas werden Benutzereingaben unzureichend gefiltert und
in der Funktion FT_Bitmap_New() kann ein Integer Overflow mit nachfolgendem
Buffer Overflow ausgelöst werden. Ein entfernter Angreifer kann diese
Schwachstelle mit einem manipulierten Schriftsatz ausnutzen, um eine
Anwendung die auf die Bibliothek zugreift zum Absturz zu bringen oder
schlimmstenfalls beliebige Befehle mit ihren Rechten auszufÃŒhren.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2011-1867/

Das Hersteller Advisory:
http://www.novell.com/linux/security/securitysupport.html

Schwachstelle CVE-2011-3256:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-3256

Schwachstelle CVE-2011-3439:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-3439

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.

© COMPUTEC MEDIA GmbH
Nach oben