DFN-CERT-2016-0865 GDK-PixBuf: Zwei Schwachstellen ermöglichen u.a. einen Denial-of-Service-Angriff [Linux][Debian]

DFN-CERT-2016-0865 GDK-PixBuf: Zwei Schwachstellen ermöglichen u.a. einen Denial-of-Service-Angriff [Linux][Debian]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

GDK-PixBuf <= 2.33.0 Betroffene Plattformen: Debian Linux 8.4 Jessie Zwei Schwachstellen in GDK-PixBuf ermöglichen einem entfernten, nicht authentifizierten Angreifer mit Hilfe speziell präparierter Bilddateien die Durchführung von Denial-of-Service-Angriffen auf mit GDK-PixBuf verknüpfte Anwendungen. Darüber hinaus kann der Angreifer möglicherweise beliebigen Programmcode mit den Rechten eines Benutzers ausführen, der eine solche Bilddatei öffnet. Debian stellt für die Distribution Debian Jessie (stable) ein Sicherheitsupdate bereit. Patch: Debian Security Advisory DSA-3589-1 https://www.debian.org/security/2016/dsa-3589

CVE-2015-8875: Schwachstelle in GDK-PixBuf ermöglicht u.a.
Denial-of-Service-Angriff

Bei der Verarbeitung von Bilddateien in den Funktionen
‘pixops_composite_nearest’, ‘pixops_composite_color_nearest’ und
‘pixops_process’ kann es bei einer Koordinatenverschiebung durch einen
Skalierungsvorgang zu einem Ganzzahlüberlauf (Integer Overflow) kommen, da
der gewählte Datentyp für große Bilddateien zu sehr eingeschränkt ist. Ein
entfernter, nicht authentifizierter Angreifer kann einen
Denial-of-Service-Angriff auf eine mit GDK-PixBuf verknüpfte Anwendung
durchführen und darüber hinaus möglicherweise beliebigen Programmcode mit
den Rechten eines Benutzers ausführen, der eine speziell präparierte
Bilddatei öffnet.

CVE-2015-7552: Schwachstelle in GDK-PixBuf ermöglicht
Denial-of-Service-Angriff

Es existiert eine Schwachstelle in GDK-PixBuf, die durch das horizontale
Umdrehen (flipping) von bestimmten Bilddateien des Typs ‘BMP’ ausgelöst
wird. Der Aufruf von ‘memcpy’ in der Funktion ‘gdk_pixbuf_flip’ führt in dem
Fall zu einem Heap-Speicherüberlauf, der einen Denial-of-Service-Zustand zur
Folge hat. Möglicherweise kann ein Angreifer diese Schwachstelle darüber
hinaus durch speziell präparierte Dateien ausnutzen, um beliebigen
Programmcode auszuführen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2016-0865/

Schwachstelle CVE-2015-7552 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-7552

Schwachstelle CVE-2015-8875 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-8875

Debian Security Advisory DSA-3589-1:
https://www.debian.org/security/2016/dsa-3589

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben