DFN-CERT-2017-1810 X.Org-Server: Mehrere Schwachstellen ermöglichen u.a. die Durchführung von Denial-of-Service-Angriffen [Linux]

DFN-CERT-2017-1810 X.Org-Server: Mehrere Schwachstellen ermöglichen u.a. die Durchführung von Denial-of-Service-Angriffen [Linux]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

X.Org-Server < 1.19.4 Betroffene Plattformen: Canonical Ubuntu Linux 14.04 LTS Canonical Ubuntu Linux 16.04 LTS Canonical Ubuntu Linux 17.04 Zwei Schwachstellen in X.Org-Server ermöglichen einem lokalen, einfach authentisierten Angreifer die Durchführung verschiedener Denial-of-Service (DoS)-Angriffe, das Manipulieren von Speicherinhalten sowie das Injizieren und Verarbeiten bösartiger Daten. Canonical stellt für Ubuntu 17.04 ein Backport-Sicherheitsupdate für 'xserver-xorg-core' sowie weitere Backport-Sicherheitsupdates für 'xserver-xorg-core' und 'xserver-xorg-core-hwe-16.04' für Ubuntu 16.04 LTS sowie 'xserver-xorg-core' und 'xserver-xorg-core-lts-xenial ' für Ubuntu 14.04 LTS bereit. Patch: Ubuntu Security Notice USN-3453-1 http://www.ubuntu.com/usn/usn-3453-1/

CVE-2017-13723: Schwachstelle in X.Org-Server ermöglicht u.a.
Denial-of-Service-Angriff

In X.Org-Server besteht eine nicht näher beschriebene Schwachstelle, die es
einem an einem X Server angemeldeten Benutzer ermöglicht einen globalen
Pufferspeicher in ‘xkbtext.c’ zum Überlauf zu bringen und den X.Org-Server
dadurch zum Absturz zu bringen (Denial-of-Service). Möglicherweise können
auch große oder bösartig präparierte XKB-verwandte Atome injiziert und über
‘xkbcomp’ verarbeitet werden. Ein lokaler, einfach authentisierter Angreifer
kann einen Denial-of-Service-Angriff durchführen oder bösartige Daten
injizieren.

CVE-2017-13721: Schwachstelle in X.Org-Server ermöglicht
Denial-of-Service-Angriff und Manipulieren von Daten

Aufgrund der unzureichenden Validierung von Eingaben über ‘shmseg resource
id’ besteht eine Schwachstelle in X.Org-Server, die es einem an einem X
Server, welcher geteilten Speicher (X Shared Memory) verwendet, angemeldeten
Benutzer ermöglicht Verbindungsabbrüche zu provozieren (Denial-of-Service)
oder Segmente des geteilten Speichers von anderen Benutzern zu ersetzen. Ein
lokaler, einfach authentisierter Angreifer kann einen
Denial-of-Service-Angriff durchführen oder Daten manipulieren.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-1810/

Schwachstelle CVE-2017-13721 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-13721

Schwachstelle CVE-2017-13723 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-13723

Ubuntu Security Notice USN-3453-1:
http://www.ubuntu.com/usn/usn-3453-1/

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben