DFN-CERT-2015-1538 OpenJPEG: Eine Schwachstelle ermöglicht das Ausführen beliebigen Programmcodes [Linux][Fedora]

DFN-CERT-2015-1538 OpenJPEG: Eine Schwachstelle ermöglicht das Ausführen beliebigen Programmcodes [Linux][Fedora]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

OpenJPEG

Betroffene Plattformen:

Red Hat Fedora 21
Red Hat Fedora 22
Red Hat Fedora 23

Eine Schwachstelle in OpenJPEG vor r3002 ermöglicht einem entfernten, nicht
authentifizierten Angreifer beliebigen Programmcode zur Ausführung zu
bringen.

Für Fedora 21, 22 und 23 stehen Backport-Sicherheitsupdates in Form der
Pakete openjpeg2-2.1.0-7.fc21 im Status ‘testing’, bzw.
openjpeg2-2.1.0-7.fc22 und openjpeg2-2.1.0-7.fc23 im Status ‘stable’ zur
Verfügung.

Patch:

Fedora Security Update FEDORA-2015-1c9ed24c61 (Fedora 21)

https://bodhi.fedoraproject.org/updates/FEDORA-2015-1c9ed24c61

Patch:

Fedora Security Update FEDORA-2015-773ef285ef (Fedora 22)

https://bodhi.fedoraproject.org/updates/FEDORA-2015-773ef285ef

Patch:

Fedora Security Update FEDORA-2015-a2c2a898f1 (Fedora 23)

https://bodhi.fedoraproject.org/updates/FEDORA-2015-a2c2a898f1

CVE-2015-6581: Schwachstelle in OpenJPEG ermöglicht Ausführen beliebigen
Programmcodes

In OpenJPEG, welches z.B. auch in PDFium in Google Chome vor Version
45.0.2454.85 verwendet wird, existiert in der Funktion
opj_j2k_copy_default_tcp_and_create_tcp() eine Double-Free-Schwachstelle.
Durch eine frühzeitige Rückkehr aus der Funktion können Strukturen
zurückbleiben, deren Zeiger auf Speicheradressen referenzieren, die Ihnen
nicht gehören. Werden diese Strukturen abgebaut, kommt es zu einem
Speicherfehler. Ein entfernter, nicht authentifizierter Angreifer kann
beliebigen Programmcode ausführen oder einen Denial-of-Service-Angriff
durchführen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-1538/

Schwachstelle CVE-2015-6581 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-6581

Fedora Security Update FEDORA-2015-1c9ed24c61 (Fedora 21):
https://bodhi.fedoraproject.org/updates/FEDORA-2015-1c9ed24c61

Fedora Security Update FEDORA-2015-773ef285ef (Fedora 22):
https://bodhi.fedoraproject.org/updates/FEDORA-2015-773ef285ef

Fedora Security Update FEDORA-2015-a2c2a898f1 (Fedora 23):
https://bodhi.fedoraproject.org/updates/FEDORA-2015-a2c2a898f1

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben