DFN-CERT-2015-0856 libav: Zwei Schwachstellen ermöglichen das Ausführen beliebigen Programmcodes [Linux][Debian]

DFN-CERT-2015-0856 libav: Zwei Schwachstellen ermöglichen das Ausführen beliebigen Programmcodes [Linux][Debian]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

libav <= 11.3 Betroffene Plattformen: Debian Linux 8.0 Jessie Debian Linux 9.0 Stretch Zwei Schwachstellen in der Bibliothek libav ermöglichen einem entfernten, nicht authentifizierten Angreifer einen Denial-of-Service-Angriff durchzuführen oder beliebigen Programmcode auszuführen. Für Debian Linux Jessie (8.0) und Stretch (9.0) werden Sicherheitsupdates zur Verfügung gestellt, um diese Schwachstellen zu beheben. Patch: Debian Security Advisory DSA-3288-1 https://www.debian.org/security/2015/dsa-3288

CVE-2015-3417: Schwachstelle in FFmpeg ermöglicht Ausführen beliebigen
Programmcodes

Eine Schwachstelle in der Funktion ff_h264_free_tables in der Datei
libavcodec/h264.c in FFmpeg vor Version 2.3.6 führt bei der Verarbeitung von
präparierten H.264-Dateien dazu, dass Speicher nach Freigabe benutzt werden
kann (“use-after-free”). Ein entfernter, nicht authentifizierter Angreifer
kann einen Denial-of-Service-Angriff durchführen oder beliebigen
Programmcode ausführen.

CVE-2015-3395: Schwachstelle in libav ermöglicht Denial-of-Service-Angriff

Eine Schwachstelle in der Funktion msrle_decode_pal4 in libav vor Version
11.4 führt dazu, dass die Größe eines Rahmens (“frame”) durch die Anzahl der
Linien anstelle durch einen Zeiger auf die Pixel berechnet wird. Dadurch
kommt es zu einem Puffer-Überlauf. Ein entfernter, nicht authentifizierter
Angreifer kann einen Denial-of-Service-Angriff durchführen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-0856/

Schwachstelle CVE-2015-3417 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-3417

Debian Security Advisory DSA-3288-1:
https://www.debian.org/security/2015/dsa-3288

Schwachstelle CVE-2015-3395 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-3395

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben