Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Paket pyfribidi

Betroffene Plattformen:

Fedora 15
Fedora 16

Eine Schwachstelle in PyFriBidi erlaubt es einem Angreifer über speziell
präparierte Unicode-Zeichenketten einen Buffer Overflow in der Anwendung
auszulösen und so schlimmstenfalls beliebige Befehle mit den Rechten der
Anwendung auszuführen.

Software Upgrade:

Der Hersteller stellt Updates zur Behebung der Schwachstelle bereit.

http://dl.fedoraproject.org/pub/fedora/linux/updates/

CVE-2012-1176: Schwachstelle in PyFriBidi

Die in pyfribidi enthaltene Funktion “fribidi_utf8_to_unicode()” verarbeitet
nur Unicode-Literale mit höchstens drei Byte Länge. Wird ein Unicode-Zeichen
mit einem Index über 0xffffff empfangen, so wird dieses als eine Gruppe von
zwei Unicode-Zeichen interpretiert und es kann zu einem Buffer Overflow
innerhalb eines logischen Buffers kommen. Ein Angreifer kann diese
Schwachstelle ausnutzen um schlimmstenfalls beliebige Befehle mit den
Rechten der Anwendung auszuführen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2012-0516/

Das Hersteller Advisory:
http://lists.fedoraproject.org/pipermail/package-announce/2012-March/076053.html
http://lists.fedoraproject.org/pipermail/package-announce/2012-March/076038.html

Schwachstelle CVE-2012-1176:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-1176

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.