DFN-CERT-2014-0035 OpenJPEG, Fedora: Mehrere Schwachstellen ermöglichen das Ausführen beliebigen Programmcodes [Linux][Fedora]

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

OpenJPEG <= 1.5.1 Betroffene Plattformen: Red Hat Fedora 18 Red Hat Fedora 19 Red Hat Fedora 20 Mehrere Schwachstellen in OpenJPEG ermöglichen es einem entfernten, nicht authentifizierten Angreifer durch präparierte Bilddateien einen Denial-of-Service-Angriff durchzuführen oder beliebige Befehle auszuführen. Patch: Fedora Update FEDORA-2014-0708 https://admin.fedoraproject.org/updates/FEDORA-2014-0708/openjpeg-1.5.1-8.fc20

Patch:

Fedora Update FEDORA-2014-0719

https://admin.fedoraproject.org/updates/FEDORA-2014-0719/openjpeg-1.5.1-8.fc19

Patch:

Fedora Update FEDORA-2014-0715

https://admin.fedoraproject.org/updates/FEDORA-2014-0715/openjpeg-1.5.1-8.fc18

CVE-2013-6887: Mehrere Schwachstellen in OpenJPEG

Mehrere nicht näher beschriebene Schwachstellen in OpenJPEG können im
Zusammenhang mit dem Öffnen von Bilddateien zu Anwendungsabstürzen führen.
Ein entfernter, nicht authentifizierter Angreifer kann durch präparierte
Bilddateien einen Denial-of-Service-Angriff durchführen, wenn diese mit
einer Anwendung geöffnet werden, die eine verwundbare OpenJPEG Bibliothek
verwendet.

CVE-2013-6053: Schwachstelle in OpenJEPG

Eine Schwachstelle in OpenJPEG kann dazu führen, dass Speicher außerhalb der
Grenzen der Anwendung gelesen wird. Ein entfernter, nicht authentifizierter
Angreifer kann durch eine präparierte Bilddatei einen
Denial-of-Service-Angriff durchführen oder unberechtigten Zugriff auf
Informationen erhalten. Diese Schwachstelle betrifft nur die Version 1.5.1
die mit Fedora ausgeliefert wird.

CVE-2013-6045: Heap-basierter Pufferüberlauf in OpenJPEG

Eine Schwachstelle in OpenJPEG kann zu einem Heap-basierten Pufferüberlauf
führen. Durch das Öffnen einer speziell präparierten Bilddatei mit einer
Anwendung, die gegen OpenJPEG gelinkt ist, kann die Anwendung zum Absturz
gebracht und damit ein Denial-of-Servie-Zustand bewirkt oder beliebige
Befehle mit den Rechten des Benutzers ausgeführt werden.

CVE-2013-1447: Denial-of-Service-Schwachstelle in OpenJPEG

Eine Schwachstelle in OpenJPEG ermöglicht einem entfernten, nicht
authentifizierten Angreifer einen Denial-of-Service-Angriff durchzuführen,
indem er die Anwendung zum Absturz bringt oder einen starken
Speicherverbrauch bewirkt.

CVE-2013-6052: Schwachstelle in OpenJPEG ermöglicht Ausspähen von
Informationen

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-0035/

Schwachstelle CVE-2013-6052 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-6052

Schwachstelle CVE-2013-6045 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-6045

Schwachstelle CVE-2013-1447 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-1447

Schwachstelle CVE-2013-6045 (Red Hat):
https://access.redhat.com/security/cve/CVE-2013-6045

Schwachstelle CVE-2013-1447 (Red Hat):
https://access.redhat.com/security/cve/CVE-2013-1447

Schwachstelle CVE-2013-6052 (Red Hat):
https://access.redhat.com/security/cve/CVE-2013-6052

Schwachstelle CVE-2013-6053 (Red Hat):
https://access.redhat.com/security/cve/CVE-2013-6053

Schwachstelle CVE-2013-6887 (Red Hat):
https://access.redhat.com/security/cve/CVE-2013-6887

Schwachstelle CVE-2013-6053 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-6053

Schwachstelle CVE-2013-6887 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-6887

Fedora Update FEDORA-2014-0708:
https://admin.fedoraproject.org/updates/FEDORA-2014-0708/openjpeg-1.5.1-8.fc20

Fedora Update FEDORA-2014-0719:
https://admin.fedoraproject.org/updates/FEDORA-2014-0719/openjpeg-1.5.1-8.fc19

Fedora Update FEDORA-2014-0715:
https://admin.fedoraproject.org/updates/FEDORA-2014-0715/openjpeg-1.5.1-8.fc18