DFN-CERT-2018-0028 libvorbis: Zwei Schwachstellen ermöglichen u.a. die Ausführung beliebigen Programmcodes [Linux][SuSE]

DFN-CERT-2018-0028 libvorbis: Zwei Schwachstellen ermöglichen u.a. die Ausführung beliebigen Programmcodes [Linux][SuSE]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Vorbis (libvorbis)

Betroffene Plattformen:

SUSE Linux Enterprise Debuginfo 11 SP4
SUSE Linux Enterprise Software Development Kit 11 SP4
SUSE Linux Enterprise Software Development Kit 12 SP2
SUSE Linux Enterprise Software Development Kit 12 SP3
SUSE Linux Enterprise Desktop 12 SP2
SUSE Linux Enterprise Desktop 12 SP3
SUSE Linux Enterprise Server 11 SP4
SUSE Linux Enterprise Server 12 SP2
SUSE Linux Enterprise Server 12 SP2 for Raspberry Pi
SUSE Linux Enterprise Server 12 SP3

Zwei Schwachstellen in libvorbis ermöglichen einem entfernten, nicht
authentifizierten Angreifer das Ausführen beliebigen Programmcodes und die
Durchführung eines Denial-of-Service-Angriffs mit Hilfe speziell
präparierter Audiodateien.

SUSE stellt für die Produkte SUSE Linux Enterprise Software Development Kit
11 SP4, 12 SP2 und 12 SP3, SUSE Linux Enterprise Server for Raspberry Pi 12
SP2, SUSE Linux Enterprise Server 11 SP4, 12 SP2 und 12 SP3, SUSE Linux
Enterprise Desktop 12 SP2 und SP3 sowie für SUSE Linux Enterprise Debuginfo
11 SP4 ein Sicherheitsupdate zur Verfügung.

Patch:

SUSE Security Update SUSE-SU-2018:0015-1

http://lists.suse.com/pipermail/sle-security-updates/2018-January/003567.html

Patch:

SUSE Security Update SUSE-SU-2018:0016-1

http://lists.suse.com/pipermail/sle-security-updates/2018-January/003568.html

CVE-2017-14633: Schwachstelle in libvorbis ermöglicht
Denial-of-Service-Angriff

Libvorbis enthält eine Schwachstelle in der Funktion ‘mapping0_forward’, die
es ermöglicht, lesend auf Speicherbereiche außerhalb autorisierter Grenzen
zuzugreifen (Out-of-Bounds Read). Ein entfernter, nicht authentisierter
Angreifer kann die Schwachstelle mit Hilfe einer speziell veränderten
Audiodatei für einen Denial-of-Service-Angriff ausnutzen.

CVE-2017-14632: Schwachstelle in libvorbis ermöglicht die Ausführung
beliebigen Programmcodes

Libvorbis enthält eine Schwachstelle in der Funktion
‘vorbis_analysis_headerout’, die auf der Freigabe von nicht initialisiertem
Speicher beruht. Ein entfernter, nicht authentisierter Angreifer kann die
Schwachstelle ausnutzen, um beliebigen Programmcode zur Ausführung zu
bringen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2018-0028/

Schwachstelle CVE-2017-14632 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-14632

Schwachstelle CVE-2017-14633 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-14633

SUSE Security Update SUSE-SU-2018:0015-1:
http://lists.suse.com/pipermail/sle-security-updates/2018-January/003567.html

SUSE Security Update SUSE-SU-2018:0016-1:
http://lists.suse.com/pipermail/sle-security-updates/2018-January/003568.html

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben