Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

GIFLIB

Betroffene Plattformen:

openSUSE 13.1
openSUSE 13.2

Eine Schwachstelle im Programm ‘gif2rgb’ aus dem Projekt GIFLIB kann von
einem entfernten, nicht authentifizierten Angreifer mit Hilfe speziell
präparierter Bilddateien ausgenutzt werden, um einen
Denial-of-Service-Angriff durchzuführen.

Für openSUSE 13.1 und 13.2 werden Sicherheitsupdates bereitgestellt, um die
Schwachstelle zu schließen.

Patch:

openSUSE Security Update openSUSE-SU-2016:1111-1

http://lists.opensuse.org/opensuse-updates/2016-04/msg00079.html

Patch:

openSUSE Security Update openSUSE-SU-2016:1118-1

http://lists.opensuse.org/opensuse-updates/2016-04/msg00084.html

CVE-2016-3977: Schwachstelle in GIFLIB ermöglicht Denial-of-Service

Im Programm ‘gif2rgb’ aus dem Projekt GIFLIB existiert eine Schwachstelle in
der Funktion DumpScreen2RGB(), die zum Lesezugriff auf Speicher außerhalb
des Heap-Pufferspeichers führt, wenn der in den Bilddaten angegebene Wert
für die Hintergrundfarbe außerhalb des gültigen Bereichs liegt. Die Folge
ist ein Programmabsturz (Denial-of-Service). Die Programmbibliothek giflib
selbst ist von der Schwachstelle nicht betroffen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2016-0653/

Schwachstelle CVE-2016-3977 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3977

openSUSE Security Update openSUSE-SU-2016:1111-1:
http://lists.opensuse.org/opensuse-updates/2016-04/msg00079.html

openSUSE Security Update openSUSE-SU-2016:1118-1:
http://lists.opensuse.org/opensuse-updates/2016-04/msg00084.html

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.