Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Paket icu

Betroffene Plattformen:

openSUSE 11.4
openSUSE 11.3

Schwachstellen in der Bibliothek International Components for Unicode (ICU)
ermöglichen entfernten Angreifern eine Anwendung, die die Bibliothek ICU
verwendet, zum Absturz zu bringen oder schlimmstenfalls beliebige Befehle
mit deren Rechten auszufÃŒhren.

Software Upgrade:

Der Hersteller stellt Updates zur Behebung der Schwachstelle bereit.

http://download.opensuse.org/update/

CVE-2011-4599: Buffer Overflow in der Bibliothek ICU

Die Bibliothek International Components for Unicode (ICU) behandelt die
Umwandlung von Ortsangaben in die kanonische Form nicht sicher, so dass bei
der Verarbeitung einer entsprechend manipulierten Ortsangabe ein Buffer
Overflow auf dem Stack ausgelöst werden kann. Ein entfernter Angreifer kann
diese Schwachstelle ausnutzen, um eine Anwendung, die die Bibliothek ICU
verwendet, zum Absturz zu bringen oder schlimmstenfalls beliebige Befehle
mit deren Rechten auszufÃŒhren.

CVE-2010-4409: Integer Overflow Schwachstelle in PHP

In PHP vor Version 5.3.3 kann ein Integer Overflow in der Funktion
NumberFormatter::getSymbol() ausgelöst werden (auch bekannt als
numfmt_get_symbol()). Ein kontextabhÀngiger Angreifer kann diese
Schwachstelle durch ein ungÃŒltiges Argument ausnutzen, um die Anwendung zum
Absturz zu bringen (Denial-of-Service).

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2012-0109/

Das Hersteller Advisory:
http://lists.opensuse.org/opensuse-security-announce/

Schwachstelle CVE-2011-4599:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-4599

Schwachstelle CVE-2010-4409:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-4409

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.