Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

File <= 5.16 Betroffene Plattformen: Canonical Ubuntu Linux 10.04 Lts Canonical Ubuntu Linux 12.04 Lts Canonical Ubuntu Linux 12.10 Canonical Ubuntu Linux 13.10 Mehrere Schwachstellen ermöglichen einem entfernten, nicht authentifizierten Angreifer das Programm zum Absturz zu bringen. Patch: Ubuntu Security Notice USN-2123-1 http://www.ubuntu.com/usn/usn-2123-1/

CVE-2014-1943: Schwachstelle im Werkzeug-Paket file ermöglicht DoS

Das Werkzeug file verarbeitet indirekte “magic rules” der Bibliothek
libmagic nicht fehlerfrei. Dies kann zu einer endlosen Rekursion bei der
Bestimmung eines Dateityps führen. Einem entfernten Angreifer ermöglicht
dies durch das Bereitstellen einer präparierten Datei eine CPU-Auslastung
von 100% zu erzeugen und somit einen Denial-of-Service-Zustand
herbeizuführen.

CVE-2012-1571: Schwachstelle in libmagic

Im File-Kommando und der davon verwendeten Bibliothek libmagic existieren
mehrere Schwachstellen bei der Erkennung von “Composite Document Format”
(CDF)-Dateien durch Lesen von Puffern auf dem Heap und der Referenzierung
von Zeigern. Einem entfernten Angreifer ist es damit möglich, das Programm
zum Absturz zu bringen (Denial-of-Service-Angriff), falls er einen Anwender
dazu bringt, eine präparierte CDF-Datei mit dem File-Programm zu
untersuchen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-0246/

Schwachstelle CVE-2012-1571 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2012-1571

Schwachstelle CVE-2014-1943 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-1943

Ubuntu Security Notice USN-2123-1:
http://www.ubuntu.com/usn/usn-2123-1/

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.