DFN-CERT-2012-1470 Schwachstelle in der Bibliothek libjpeg-turbo [Linux][SuSE]

DFN-CERT-2012-1470 Schwachstelle in der Bibliothek libjpeg-turbo [Linux][SuSE]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Paket libjpeg-turbo

Betroffene Plattformen:

openSUSE 12.1
openSUSE 11.4

Eine Schwachstelle in der Bibliothek libjpeg-turbo ermöglicht einem
entfernten Angreifer schlimmstenfalls beliebigen Code mit den Rechten der
Anwendung, welche die Bibliothek verwendet, zur Ausführung zu bringen.

Software Upgrade:

Der Hersteller stellt Updates zur Behebung der Schwachstelle bereit.

http://download.novell.com/index.jsp

CVE-2012-2806: Schwachstelle in der Bibliothek libjpeg-turbo

In der Bibliothek libjpeg-turbo kommt es beim Dekomprimieren einer
JPEG-Datei zu einem Buffer Overflow auf dem Heap, falls der “Component
Count” auf einen zu großen Wert gesetzt wurde. Dies ermöglicht einem
entfernten Angreifer durch das Bereitstellen einer präparierten JPEG-Datei
die Anwendung, welche die Bibliothek verwendet, zum Absturz zu bringen oder
schlimmstenfalls beliebigen Code mit den Rechten der Anwendung zur
Ausführung zu bringen. Dies setzt voraus, dass die präparierte Datei vom
Anwender geöffnet wird.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2012-1470/

Das Hersteller Advisory:
http://lists.opensuse.org/opensuse-updates/

Schwachstelle CVE-2012-2806:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-2806

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.

© COMPUTEC MEDIA GmbH
Nach oben