DFN-CERT-2012-1104 Mehrere Schwachstellen in FlightGear [Linux][Fedora]

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Paket FlightGear

Betroffene Plattformen:

Fedora 15
Fedora 16
Fedora 17

Zwei Schwachstellen in FlightGear erlauben einem entfernten Angreifer
schlimmstenfalls über speziell präparierte XML-Dateien beliebige Befehle mit
den Rechten des Anwenders auszuführen.

Software Upgrade:

Der Hersteller stellt Updates zur Behebung der Schwachstelle bereit.

http://dl.fedoraproject.org/pub/fedora/linux/updates/

CVE-2012-2091: Buffer Overflow Schwachstelle in FlightGear und SimGear

FlightGear und die davon abgeleitete Bibliothek SimGear enthalten eine
Schwachstelle bei der Verarbeitung von XML-Daten. Öffnet ein Benutzer eine
speziell präparierte XML-Datei, so kann dies zu einem Absturz der Anwendung
führen und einem Angreifer schlimmstenfalls die Ausführung beliebiger
Befehle mit den Rechten der Anwendung ermöglichen.

CVE-2012-2090: Format String Schwachstellen in FlightGear und SimGear

FlightGear und die davon abgeleitete Bibliothek SimGear haben eine
Schwachstelle bei der Verarbeitung von Daten, welche aus XML-Model Dateien
gelesen werden. Diese Schwachstellen können für die Durchführung von
Angriffen mittels Format Strings verwendet werden und erlauben einem
Angreifer schlimmstenfalls beliebige Befehle mit den Rechten der Anwendung
auszuführen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2012-1104/

Das Hersteller Advisory:
http://lists.fedoraproject.org/pipermail/package-announce/2012-June/082001.html
http://lists.fedoraproject.org/pipermail/package-announce/2012-June/082016.html
http://lists.fedoraproject.org/pipermail/package-announce/2012-June/081996.html

Schwachstelle CVE-2012-2090:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-2090

Schwachstelle CVE-2012-2091:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-2091