DFN-CERT-2016-0070 libpng: Mehrere Schwachstellen ermöglichen u.a. Denial-of-Service-Angriffe [Linux][SuSE]

DFN-CERT-2016-0070 libpng: Mehrere Schwachstellen ermöglichen u.a. Denial-of-Service-Angriffe [Linux][SuSE]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Bibliothek libpng <= 1.0.64 Bibliothek libpng <= 1.2.53 Bibliothek libpng <= 1.4.16 Bibliothek libpng <= 1.5.23 Bibliothek libpng <= 1.6.18 Betroffene Plattformen: openSUSE Leap 42.1 Mehrere unter der CVE-2015-8126 zusammengefasste Schwachstellen ermöglichen einem entfernten, nicht authentisierten Angreifer die Durchführung von Denial-of-Service (DoS)- und möglicherweise weiteren nicht näher beschriebenen Angriffen. Für die Distribution openSUSE Leap 42.1 werden verschiedene neue Backport-Sicherheitsupdates für libpng12, libpng15 und libpng16 zur Verfügung gestellt. Patch: openSUSE Security Update openSUSE-SU-2016:0103-1 http://lists.opensuse.org/opensuse-updates/2016-01/msg00028.html

Patch:

openSUSE Security Update openSUSE-SU-2016:0104-1

http://lists.opensuse.org/opensuse-updates/2016-01/msg00029.html

Patch:

openSUSE Security Update openSUSE-SU-2016:0105-1

http://lists.opensuse.org/opensuse-updates/2016-01/msg00030.html

CVE-2015-8126: Schwachstellen in libpng erlauben Denial-of-Service-Angriffe

Mehrere Pufferüberlauf-Schwachstellen existieren in den Funktionen (1)
‘png_set_PLTE’ und (2) ‘png_get_PLTE’ in libpng bevor 1.0.64, 1.1.x und
1.2.x bevor 1.2.54, 1.3.x und 1.4.x bevor 1.4.17, 1.5.x bevor 1.5.24 und
1.6.x bevor 1.6.19. Ein entfernter, nicht authentisierter Angreifer kann
diese Schwachstellen ausnutzen, mittels eines kleinen ‘bit-depth’-Wertes in
einem IHDR (aka image header) Chunk in einer PNG-Bilddatei, um einen Absturz
der Anwendung (Denial-of-Service) zu verursachen oder möglicherweise weitere
Angriffe durchzuführen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2016-0070/

Schwachstelle CVE-2015-8126 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-8126

openSUSE Security Update openSUSE-SU-2016:0103-1:
http://lists.opensuse.org/opensuse-updates/2016-01/msg00028.html

openSUSE Security Update openSUSE-SU-2016:0104-1:
http://lists.opensuse.org/opensuse-updates/2016-01/msg00029.html

openSUSE Security Update openSUSE-SU-2016:0105-1:
http://lists.opensuse.org/opensuse-updates/2016-01/msg00030.html

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben