Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Paket icedtea-web

Betroffene Plattformen:

Fedora 17
Fedora 18

Schwachstellen im IcedTea-Web-Browser-Plugin erlauben einem entfernten
Angreifer schlimmstenfalls beliebige Befehle zur Ausführung zu bringen.

Software Upgrade:

Der Hersteller stellt Updates zur Behebung der Schwachstelle bereit.

http://dl.fedoraproject.org/pub/fedora/linux/updates/

CVE-2013-1927: Schwachstelle in GIFAR

In IcedTea-Web vor Version 1.3.2 werden GIFAR-Dateien, also eine Kombination
eines GIF-Bildes mit einer JAR-Datei in eine einzelne Datei, nicht richtig
behandelt. Einem entfernten Angreifer ist es damit möglich, schlimmstenfalls
ein Java-Applet auf Seiten zur Ausführung zu bringen, die den Upload von
GIF-Bildern erlauben.

CVE-2013-1926: Schwachstelle im Browser-Plugin IcedTea-Web

Im Browser-Plugin IcedTea-Web werden Applets, die den gleichen Codebase-Pfad
haben, vom “class loader” nicht korrekt behandelt. Einem entfernten
Angreifer ist es mittels eines manipulierten Applet damit möglich,
vertrauliche Information abzufragen oder andere Applets zu manipulieren, um
so schlimmstenfalls Code in anderen Kontexten zur Ausführung zu bringen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2013-0812/

Das Hersteller Advisory:
http://lists.fedoraproject.org/pipermail/package-announce/2013-April/102069.html
http://lists.fedoraproject.org/pipermail/package-announce/2013-April/102100.html

Schwachstelle CVE-2013-1927:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-1927

Schwachstelle CVE-2013-1926:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-1926

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.