DFN-CERT-2013-1505 Schwachstellen in der Bibliothek libtiff [Linux][Fedora]

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Paket libtiff

Betroffene Plattformen:

Fedora 19

Schwachstellen in der Bibliothek libtiff ermöglichen schlimmstenfalls einem
entfernten Angreifer beliebige Befehle auszuführen.

Software Upgrade:

Der Hersteller stellt Updates zur Behebung der Schwachstelle bereit.

http://dl.fedoraproject.org/pub/fedora/linux/updates/

CVE-2013-4231: Buffer-Overflow-Schwachstellen in der Bibliothek libtiff

Die Bibliothek libtiff enthält in der Komponente ‘rgb2ycbcr’ einen Buffer
Overflow und in der Komponente ‘gif2tiff’ mehrere Buffer Overflows. Diese
ermöglichen einem entfernten Angreifer durch das Bereitstellen einer
präparierten TIFF-Datei oder einer präparierten GIF-Datei die Anwendung, die
die Bibliothek verwendet, zum Abturz zu bringen oder schlimmstenfalls
beliebige Befehle zur Ausführung zu bringen. Voraussetzung dafür ist, dass
der Benutzer die präparierte Datei mit der Anwendung öffnet.

CVE-2013-4232: Use-After-Free-Schwachstelle in der Bibliothek libtiff

Die Bibliothek libtiff enthält in der Funktion t2p_readwrite_pdf_image() der
Komponente ‘tiff2pdf’ eine Use-After-Free-Schwachstelle. Diese ermöglicht
einem entfernten Angreifer durch das Bereitstellen einer präparierten
TIFF-Datei die Anwendung, die die Bibliothek verwendet, zum Abturz zu
bringen oder schlimmstenfalls beliebige Befehle zur Ausführung zu bringen.
Voraussetzung dafür ist, dass der Benutzer die präparierte Datei mit der
Anwendung öffnet.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2013-1505/

Das Hersteller Advisory:
http://lists.fedoraproject.org/pipermail/package-announce/2013-August/114181.html

Schwachstelle CVE-2013-4231:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-4231

Schwachstelle CVE-2013-4232:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-4232