Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Paket plib

Betroffene Plattformen:

openSUSE 11.4

Aufgrund zweier Schwachstellen in der Bibliothek PLIB ist es einem Angreifer
schlimmstenfalls möglich beliebige Befehle mit den Rechten des Benutzers zur
Ausführung zu bringen.

Software Upgrade:

Der Hersteller stellt Updates zur Behebung der Schwachstelle bereit.

http://download.novell.com/index.jsp

CVE-2012-4552: Buffer Overflow in der Bibliothek PLIB

In der Funktion _ssgParser::error() der Bibliothek PLIB läßt sich ein Buffer
Overflow durch eine überlange Fehlermeldung auslösen. Ein Angreifer kann
diese Schwachstelle potentiell ausnutzen, um die Anwendung zum Absturz zu
bringen oder um beliebige Befehle mit den Rechten des Benutzers auszuführen.

CVE-2011-4620: Buffer Overflow-Schwachstelle in PLIB

In der Bibliothek PLIB werden beim Erzeugen einer Fehlermeldung in der
Funktion ulSetError() aus src/util/ulError.cxx bestimmte Eingaben nicht
ausreichend hinsichtlich ihrer Länge überprüft. Ein Angreifer kann dies
ausnutzen, um mittels einer präparierten Fehlermeldung beliebige Befehle
auszuführen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2013-0134/

Das Hersteller Advisory:
http://lists.opensuse.org/opensuse-updates/

Schwachstelle CVE-2011-4620:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-4620

Schwachstelle CVE-2012-4552:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-4552

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.