Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

catdoc < 0.95 Betroffene Plattformen: openSUSE Leap 42.2 Ein lokaler, einfach authentisierter Angreifer kann mehrere Schwachstellen in dem auch von dem Kommando 'less' aufgerufenen Kommandozeilenwerkzeug catdoc ausnutzen, um einen Denial-of-Service (DoS)-Angriff durchzuführen oder möglicherweise Informationen auszuspähen. Für openSUSE Leap 42.2 steht ein Sicherheitsupdate für catdoc auf Version 0.95 zur Behebung dieser Schwachstellen zur Verfügung. Patch: openSUSE Security Update openSUSE-SU-2017:1520-1 https://lists.opensuse.org/opensuse-updates/2017-06/msg00027.html

SUSE-BUG-ID-919228: Schwachstellen in catdoc ermöglichen u.a.
Denial-of-Service-Angriffe

In catdoc wurden durch Fuzzing zahlreiche Schwachstellen gefunden, die zu
einem Absturz der Anwendung führen können. Die ASAN-Abstürze deuten auf
Speicherkorruptionen hin (Memory Corruption), doch in ‘substmap.c’ und
‘numultils.c’ wurden auch Segmentierungsfehler (Segmentation Fault)
gefunden, bei denen es sich um Leseverletzungen zu handeln scheint, die
nicht trivial auszunutzen sind.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-1002/

openSUSE Security Update openSUSE-SU-2017:1520-1:
https://lists.opensuse.org/opensuse-updates/2017-06/msg00027.html

Suse Bug ID 919228: catdoc: Various issues found using fuzzing:
https://bugzilla.suse.com/show_bug.cgi?id=919228

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.