Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

International Components for Unicode Library

Betroffene Plattformen:

SUSE Linux Enterprise Debuginfo 11 SP4
SUSE Linux Enterprise Software Development Kit 11 SP4
SUSE Linux Enterprise Server 11 SP4

Eine Schwachstelle in International Components for Unicode (ICU) ermöglicht
einem entfernten, nicht authentifizierten Angreifer möglicherweise die
Ausführung beliebigen Programmcodes.

Für SUSE Linux Enterprise Software Development Kit, Server und Debuginfo 11
SP4 stehen Sicherheitsupdates bereit.

Patch:

SUSE Security Update SUSE-SU-2017:0256-1

http://lists.suse.com/pipermail/sle-security-updates/2017-January/002590.html

CVE-2014-9911: Schwachstelle in International Components for Unicode (ICU)
ermöglicht Ausführung beliebigen Programmcodes

Jede Zeichenkette mit einer Länge größer als 255 Zeichen, die als erstes
Argument an die Funktion ‘locale_get_display_name’ der International
Components for Unicode (ICU) übergeben wird, löst einen Stack-basierten
Pufferüberlauf aus (Stack-based Buffer Overflow).

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-0128/

Schwachstelle CVE-2014-9911 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-9911

SUSE Security Update SUSE-SU-2017:0256-1:
http://lists.suse.com/pipermail/sle-security-updates/2017-January/002590.html

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.