DFN-CERT-2017-0963 libsndfile: Mehrere Schwachstellen ermöglichen Denial-of-Service-Angriffe [Linux][Fedora]

DFN-CERT-2017-0963 libsndfile: Mehrere Schwachstellen ermöglichen Denial-of-Service-Angriffe [Linux][Fedora]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

libsndfile

Betroffene Plattformen:

Red Hat Fedora 24
Red Hat Fedora 25
Red Hat Fedora 26

Mehrere Schwachstellen in libsndfile ermöglichen einem entfernten, nicht
authentisierten Angreifer die Durchführung von Denial-of-Service
(DoS)-Angriffen mit Hilfe bösartig präparierter FLAC- bzw. anderer
Audiodateien.

Für Fedora 24, 25 und 26 stehen Sicherheitsupdates in Form der Pakete
‘libsndfile-1.0.28-2.fc24’, ‘libsndfile-1.0.28-2.fc25’ und
‘libsndfile-1.0.28-2.fc26’ im Status ‘testing’ bereit.

Patch:

Fedora Security Update FEDORA-2017-a3d6e1a7bf (Fedora 24,
libsndfile-1.0.28-2.fc24)

https://bodhi.fedoraproject.org/updates/FEDORA-2017-a3d6e1a7bf

Patch:

Fedora Security Update FEDORA-2017-abbac6c64b (Fedora 25,
libsndfile-1.0.28-2.fc25)

https://bodhi.fedoraproject.org/updates/FEDORA-2017-abbac6c64b

Patch:

Fedora Security Update FEDORA-2017-b6959bc910 (Fedora 26,
libsndfile-1.0.28-2.fc26)

https://bodhi.fedoraproject.org/updates/FEDORA-2017-b6959bc910

CVE-2017-8365: Schwachstelle in libsndfile ermöglicht
Denial-of-Service-Angriff

In der Funktion ‘i2les_array’ in ‘pcm.c’ in libsndfile 1.0.28 existiert eine
nicht näher beschriebene Schwachstelle, die ein entfernter, nicht
authentisierter Angreifer mit Hilfe einer bösartig präparierten Audiodatei
ausnutzen kann, um über Puffergrenzen hinaus zu lesen (Buffer Over-read),
wodurch die Anwendung abstürzt und ein Denial-of-Service (DoS)-Zustand
eintritt.

CVE-2017-8363: Schwachstelle in libsndfile ermöglicht
Denial-of-Service-Angriff

In der Funktion ‘flac_buffer_copy’ in ‘flac.c’ in libsndfile 1.0.28
existiert eine nicht näher beschriebene Schwachstelle, die ein entfernter,
nicht authentisierter Angreifer mit Hilfe einer bösartig präparierten
Audiodatei ausnutzen kann, um über zugewiesene Grenzen des
Heap-Pufferspeichers hinaus zu lesen (Heap-based Buffer Over-read), wodurch
die Anwendung abstürzt und ein Denial-of-Service (DoS)-Zustand eintritt.

CVE-2017-8362: Schwachstelle in libsndfile ermöglicht
Denial-of-Service-Angriff

In der Funktion ‘flac_buffer_copy’ in ‘flac.c’ in libsndfile 1.0.28
existiert eine nicht näher beschriebene Schwachstelle, die ein entfernter,
nicht authentisierter Angreifer mit Hilfe einer bösartig präparierten
Audiodatei ausnutzen kann, um einen ungültigen, lesenden Speicherzugriff
auszulösen (Invalid Read), wodurch die Anwendung abstürzt und ein
Denial-of-Service (DoS)-Zustand eintritt.

CVE-2017-8361: Schwachstelle in libsndfile ermöglicht
Denial-of-Service-Angriff

In der Funktion ‘flac_buffer_copy’ in ‘flac.c’ in libsndfile 1.0.28
existiert eine nicht näher beschriebene Schwachstelle, die ein entfernter,
nicht authentisierter Angreifer mit Hilfe einer bösartig präparierten
Audiodatei ausnutzen kann, um den Pufferspeicher zum Überlauf zu bringen
(Buffer Overflow), wodurch die Anwendung abstürzt und ein Denial-of-Service
(DoS)-Zustand eintritt.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-0963/

Schwachstelle CVE-2017-8361 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-8361

Schwachstelle CVE-2017-8362 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-8362

Schwachstelle CVE-2017-8363 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-8363

Schwachstelle CVE-2017-8365 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-8365

Fedora Security Update FEDORA-2017-a3d6e1a7bf (Fedora 24,
libsndfile-1.0.28-2.fc24):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-a3d6e1a7bf

Fedora Security Update FEDORA-2017-abbac6c64b (Fedora 25,
libsndfile-1.0.28-2.fc25):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-abbac6c64b

Fedora Security Update FEDORA-2017-b6959bc910 (Fedora 26,
libsndfile-1.0.28-2.fc26):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-b6959bc910

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben