DFN-CERT-2017-1091 Graphite2: Mehrere Schwachstellen ermöglichen die Durchführung von Denial-of-Service-Angriffen [Linux][Debian]

DFN-CERT-2017-1091 Graphite2: Mehrere Schwachstellen ermöglichen die Durchführung von Denial-of-Service-Angriffen [Linux][Debian]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Graphite2

Betroffene Plattformen:

Debian Linux 8.8 Jessie

Mehrere Schwachstellen in Graphite2 ermöglichen einem entfernten, nicht
authentisierten Angreifer die Durchführung von Denial-of-Service
(DoS)-Angriffen.

Debian stellt für die Distribution Jessie (oldstable) ein Sicherheitsupdate
für ‘graphite2’ bereit. Für die stabile Distribution Stretch wurden die
Änderungen bereits vor der Veröffentlichung des initialen Release eingefügt.

Patch:

Debian Security Advisory DSA-3894-1

https://www.debian.org/security/2017/dsa-3894

CVE-2017-7771 CVE-2017-7772 CVE-2017-7773 CVE-2017-7774 CVE-2017-7775
CVE-2017-7776 CVE-2017-7777 CVE-2017-7778: Schwachstellen in Graphite2
ermöglichen Denial-of-Service-Angriffe

In der Graphite2-Bibliothek vor Version 1.3.10, die auch in Mozilla Firefox,
Firefox ESR und Thunderbird enthalten ist, existieren mehrere
Schwachstellen, die es mit Hilfe speziell präparierter Graphite-Schriftarten
ermöglichen durch das Verwenden nicht initialisierten Speichers, dem
Durchführen von Lese- sowie Schreibzugriffen außerhalb gültiger
Speichergrenzen (Out-of-bounds Read/Write, Heap-buffer-overflow Read/Write)
sowie dem Auslösen von Assertions Speicherschutzverletzungen auszulösen,
welche die Anwendung abstürzen lassen (Denial-of-Service).

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-1091/

Schwachstelle CVE-2017-7771 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-7771

Schwachstelle CVE-2017-7772 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-7772

Schwachstelle CVE-2017-7773 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-7773

Schwachstelle CVE-2017-7774 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-7774

Schwachstelle CVE-2017-7775 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-7775

Schwachstelle CVE-2017-7776 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-7776

Schwachstelle CVE-2017-7777 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-7777

Schwachstelle CVE-2017-7778 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-7778

Debian Security Advisory DSA-3894-1:
https://www.debian.org/security/2017/dsa-3894

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben