Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Libvpx

Betroffene Plattformen:

Red Hat Fedora 23

Eine Schwachstelle in der Libvpx-Bibliothek ermöglicht einem entfernten,
nicht authentifizierten Angreifer einen Denial-of-Service-Angriff oder eine
andere, nicht näher spezifizierte Einflussnahme auf die betroffene
Komponente.

Für Fedora 23 steht ein Sicherheitsupdate in Form des Paketes
libvpx-1.4.0-5.fc23 im Status ‘testing’ zur Verfügung.

Patch:

Fedora Security Update FEDORA-2015-15934

https://bodhi.fedoraproject.org/updates/FEDORA-2015-15934

CVE-2015-1258: Schwachstelle in Libvpx ermöglicht Denial-of-Service-Angriff

Es existiert eine Schwachstelle in Libvpx bei der Berechnung von
Framegrößen, die durch die Verarbeitung zu großer Eingabewerte zu einem
“signed overflow” und dadurch zu einem negativen Parameter im Ergebnis
führt. Ein Angreifer kann diese Schwachstelle ausnutzen, indem er einen
Benutzer dazu verleiten, eine präparierte Webseite zu öffnen, in der eine
VP9 Videodatei mit entsprechend präparierter Framegröße enthalten ist. Dies
führt in der Anwendung zu einem Denial-of-Service-Zustand oder kann andere,
nicht näher spezifizierte Auswirkungen haben.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-1423/

Schwachstelle CVE-2015-1258 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-1258

Fedora Security Update FEDORA-2015-15934:
https://bodhi.fedoraproject.org/updates/FEDORA-2015-15934

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.