DFN-CERT-2013-0956 Schwachstelle in der Bibliothek libFS [Linux][Debian]

DFN-CERT-2013-0956 Schwachstelle in der Bibliothek libFS [Linux][Debian]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Paket libfs in Debian GNU/Linux 6.0 (squeeze) vor Version
2:1.0.2-1+squeeze1
Paket libfs in Debian GNU/Linux 7.0 (wheezy) vor Version 2:1.0.4-1+deb7u1
Paket libfs in Debian GNU/Linux unstable (sid) vor Version 2:1.0.4-1+deb7u1

Betroffene Plattformen:

Debian GNU/Linux 6.0 (squeeze)
Debian GNU/Linux 7.0 (wheezy)
Debian GNU/Linux unstable (sid)

Eine Schwachstelle in der Bibliothek libFS erlaubt einem entferntem
Angreifer schlimmstenfalls beliebige Befehle zur Ausführung zu bringen.

Software Upgrade:

Der Hersteller stellt Updates zur Behebung der Schwachstelle bereit.

http://security.debian.org/pool/updates/main/

CVE-2013-1996: Schwachstelle in der Bibliothek libFS

In der X Font Service Client Library, libFS, Version 1.0.4 und früher wird
in der Funktion FSOpenServer() nicht das Vorzeichen von zurückgegebenen
Daten geprüft, was zu einem Fehler bei der Berechnung von benötigtem
Speicher führt, wodurch zu wenig Speicher alloziert wird. Einem entfernten
Angreifer mit Kontrolle über einen X-Server ist es dadurch schlimmstenfalls
möglich, beliebige Befehle auf Clients, die sich mit dem Server verbinden,
zur Ausführung zu bringen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2013-0956/

Das Hersteller Advisory:
http://www.debian.org/security/2013/dsa-2687

Schwachstelle CVE-2013-1996:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-1996

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.

© COMPUTEC MEDIA GmbH
Nach oben