Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Paket boost

Betroffene Plattformen:

RHEL Desktop Workstation (v. 5 client) – i386, x86_64
Red Hat Enterprise Linux (v. 5 server) – i386, ia64, ppc, s390x, x86_64
Red Hat Enterprise Linux Desktop (v. 5 client) – i386, x86_64
Red Hat Enterprise Linux Desktop (v. 6) – i386, x86_64
Red Hat Enterprise Linux Desktop Optional (v. 6) – i386, x86_64
Red Hat Enterprise Linux HPC Node (v. 6) – x86_64
Red Hat Enterprise Linux HPC Node Optional (v. 6) – x86_64
Red Hat Enterprise Linux Server (v. 6) – i386, ppc64, s390x, x86_64
Red Hat Enterprise Linux Server Optional (v. 6) – i386, ppc64, s390x,
x86_64
Red Hat Enterprise Linux Workstation (v. 6) – i386, x86_64
Red Hat Enterprise Linux Workstation Optional (v. 6) – i386, x86_64

Eine Schwachstelle in der Bibliothek Boost erlaubt einem Angreifer
schlimmstenfalls beliebige Befehle mit den Rechten der verwendeten Anwendung
zur Ausführung zu bringen.

Software Upgrade:

Der Hersteller stellt Updates zur Behebung der Schwachstelle bereit.

https://rhn.redhat.com

CVE-2012-2677: Schwachstelle in der Bibliothek Boost

In der Implementierung der Funktion ordered_malloc() in Boost werden die
Parameter “next_site” und “max_size” bei der Allokation von Speicher nicht
ausreichend geprüft. Ein Angreifer, der einen Benutzer davon überzeugt, eine
präparierte Anwendungsdatei mit einer Anwendung die Boost verwendet, zu
öffnen, kann dadurch schlimmstenfalls beliebigen Code zur Ausführung bringen
oder zumindest die Anwendung zum Absturz bringen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2013-0627/

Das Hersteller Advisory:
https://rhn.redhat.com/errata/RHSA-2013-0668.html

Schwachstelle CVE-2012-2677:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-2677

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.