Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Secret Rabbit Code (libsamplerate) < 0.1.9 Betroffene Plattformen: SUSE Linux Enterprise Debuginfo 11 SP4 SUSE Linux Enterprise Software Development Kit 11 SP4 SUSE Linux Enterprise Server 11 SP4 Ein entfernter, nicht authentisierter Angreifer kann mit Hilfe einer speziell präparierten Audiodatei, die von libsamplerate verarbeitet wird, auf nicht zugewiesenen Speicher zugreifen und dadurch einen Denial-of-Service (DoS)-Angriff durchführen. Der Hersteller stellt die Version 0.1.9 der Software als Sicherheitsupdate zur Verfügung. Für die SUSE Linux Enterprise Produkte Software Development Kit, Server und Debuginfo in Version 11 SP4 stehen Backport-Sicherheitsupdates bereit. Patch: SUSE Security Update SUSE-SU-2017:1065-1 http://lists.suse.com/pipermail/sle-security-updates/2017-April/002819.html

Patch:

Secret Rabbit Code Downloadseite

http://www.mega-nerd.com/libsamplerate/download.html

CVE-2017-7697: Schwachstelle in libsamplerate ermöglicht
Denial-of-Service-Angriff

In der Funktion ‘calc_output_single’ innerhalb von ‘src_sinc.c’ in
libsamplerate vor Version 0.1.9 kann es zum Lesezugriff auf Speicher
außerhalb des zugewiesenen Speicherbereichs kommen (Buffer Over-Read).

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-0692/

Schwachstelle CVE-2017-7697 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-7697

SUSE Security Update SUSE-SU-2017:1065-1:
http://lists.suse.com/pipermail/sle-security-updates/2017-April/002819.html

Secret Rabbit Code Downloadseite:
http://www.mega-nerd.com/libsamplerate/download.html

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.