DFN-CERT-2015-1631 GDK-PixBuf: Zwei Schwachstellen ermöglichen u.a. das Ausführen beliebigen Programmcodes [Linux][SuSE]

DFN-CERT-2015-1631 GDK-PixBuf: Zwei Schwachstellen ermöglichen u.a. das Ausführen beliebigen Programmcodes [Linux][SuSE]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

GdkPixbuf

Betroffene Plattformen:

SUSE Linux Enterprise Software Development Kit 11 SP3
SUSE Linux Enterprise Software Development Kit 11 SP4
SUSE Linux Enterprise Desktop 11 SP3
SUSE Linux Enterprise Desktop 11 SP4
SUSE Linux Enterprise Server 11 SP3
SUSE Linux Enterprise Server 11 SP3 for VMware
SUSE Linux Enterprise Server 11 SP4

Zwei Schwachstellen in der ‘gdk-pixbuf’-Bibliothek ermöglichen einem
entfernten, nicht authentifizierten Angreifer Denial-of-Service
(DoS)-Angriffe und das Ausführen beliebigen Programmcodes mit
Benutzerrechten.

Für SUSE Linux Enterprise Software Development Kit 11 SP4 / SP3, Server für
VMWare 11 SP3, Server 11 SP4 / SP3 und Desktop 11 SP4 / SP3 stehen
Sicherheitsupdates zur Verfügung.

Patch:

SUSE Security Update SUSE-SU-2015:1787-1

https://www.suse.com/support/update/announcement/2015/suse-su-20151787-1.html

CVE-2015-7674: Schwachstelle in GDK-PixBuf ermöglicht
Denial-of-Service-Angriff

Es existiert eine Schwachstelle in GDK-PixBuf, die aufgrund einer
fehlerhaften Behandlung von Integer-Werten hervorgerufen wird. Dadurch kann
es passieren, dass bei der Behandlung bestimmter GIF-Bilder ein
Integer-Überlauf auftritt, in Folge dessen das Programm abstürzt.
Möglicherweise kann ein Angreifer diese Schwachstelle ebenfalls dazu
ausnutzen, um beliebigen Programmcode zur Ausführung zu bringen. Ein
entfernter, nicht authentifizierter Angreifer kann einen
Denial-of-Service-Angriff durchführen.

CVE-2015-4491: Heap-Überlauf-Schwachstelle in der Bibliothek ‘gdk-pixbuf’

Beim Skalieren von Bitmap-Bildern lässt sich in der u.a. von Firefox
genutzten Bibliothek ‘gdk-pixbuf’ bevor Version 2.31.5 auf Linux-Systemen
ein Heap-Überlauf auslösen. Ein entfernter, nicht authentifizierter
Angreifer kann diese Schwachstelle dazu ausnutzen, beliebigen Programmcode
mit den Rechten des Benutzers auszuführen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-1631/

Schwachstelle CVE-2015-4491 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-4491

Schwachstelle CVE-2015-7674 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-7674

SUSE Security Update SUSE-SU-2015:1787-1:
https://www.suse.com/support/update/announcement/2015/suse-su-20151787-1.html

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben