Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Netpbm 10.47.63

Betroffene Plattformen:

SUSE Linux Enterprise Debuginfo 11 SP4
SUSE Linux Enterprise Software Development Kit 11 SP4
SUSE Linux Enterprise Server 11 SP4

Eine Schwachstelle in Netpbm 10.47.63 kann von einem entfernten, nicht
authentisierten Angreifer mit Hilfe einer bösartig präparierten BMP-Datei
ausgenutzt werden, um beliebigen Programmcode zur Ausführung zu bringen oder
einen Denial-of-Service (DoS)-Angriff durchzuführen.

Für die SUSE Linux Enterprise 11 SP4 Produkte Software Development Kit,
Server und Debuginfo stehen Sicherheitsupdates bereit.

Patch:

SUSE Security Update SUSE-SU-2017:1575-1

http://lists.suse.com/pipermail/sle-security-updates/2017-June/002944.html

CVE-2017-2581: Schwachstelle in Netpbm ermöglicht Ausführung beliebigen
Programmcodes

In der Funktion ‘writeRasterPbm’ in ‘bmptopnm’ in Netpbm 10.47.63 existiert
eine Schwachstelle, die es mit Hilfe einer speziell präparierten BMP-Datei
ermöglicht einen Ganzzahlenüberlauf zu provozieren und darüber
Schreibzugriffe auf Speicher außerhalb der gültigen Speichergrenzen
durchzuführen (Out-of-Bounds Write).

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-1039/

Schwachstelle CVE-2017-2581 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-2581

SUSE Security Update SUSE-SU-2017:1575-1:
http://lists.suse.com/pipermail/sle-security-updates/2017-June/002944.html

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.