DFN-CERT-2017-0261 LibTIFF: Eine Schwachstelle ermöglicht u.a. das Ausführen beliebigen Programmcodes [Linux][SuSE]

DFN-CERT-2017-0261 LibTIFF: Eine Schwachstelle ermöglicht u.a. das Ausführen beliebigen Programmcodes [Linux][SuSE]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Bibliothek LibTIFF 4.0.7

Betroffene Plattformen:

SUSE Linux Enterprise Software Development Kit 12 SP1
SUSE Linux Enterprise Software Development Kit 12 SP2
SUSE Linux Enterprise Desktop 12 SP1
SUSE Linux Enterprise Desktop 12 SP2
SUSE Linux Enterprise Server 12 SP1
SUSE Linux Enterprise Server 12 SP2
SUSE Linux Enterprise Server 12 SP2 for Raspberry Pi

Ein entfernter, nicht authentisierter Angreifer kann die Schwachstelle
ausnutzen, mit Hilfe eines präparierten ‘BitsPerSample’-Wertes in einer
Bilddatei des Typs ‘TIFF’, um einen Denial-of-Service (DoS)-Angriff
durchzuführen oder beliebigen Programmcode auszuführen.

Für SUSE Linux Enterprise Software Development Kit, Desktop und Server in
den Versionen 12 SP1 und 12 SP2 sowie SUSE Linux Enterprise Server for
Raspberry Pi 12 SP2 stehen Sicherheitsupdates zur Behebung der Schwachstelle
zur Verfügung.

Patch:

SUSE Security Update SUSE-SU-2017:0453-1

http://lists.suse.com/pipermail/sle-security-updates/2017-February/002639.html

CVE-2017-5225: Schwachstelle in LibTIFF ermöglicht Ausführung beliebigen
Programmcodes

In ‘tools/tiffcp.c’ in der LibTIFF Version 4.0.7 kann bei der Verarbeitung
speziell präparierter ‘BitsPerSample’-Werte ein Speicherüberlauf auf dem
Heap ausgelöst werden (Heap-Buffer Overflow), wodurch in der Folge die
Anwendung abstürzt (Denial-of-Service) oder es zur Ausführung beliebigen
Programmcodes kommen kann.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-0261/

Schwachstelle CVE-2017-5225 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-5225

SUSE Security Update SUSE-SU-2017:0453-1:
http://lists.suse.com/pipermail/sle-security-updates/2017-February/002639.html

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben