—–BEGIN PGP SIGNED MESSAGE—–
Hash: SHA1
Liebe Kolleginnen und Kollegen,
soeben erreichte uns nachfolgendes Fedora Security Advisory. Wir geben
diese Informationen unveraendert an Sie weiter.
CVE-2009-0723 – Integer Overflow in LittleCms
LittleCms enthaelt mehrere Schwachstellen bei der Umrechung von
Farbwerten zwischen verschiedenen Farbraeumen, welche zu einem Integer
Overflow fuehren. Ein Angreifer kann diese Schwachstelle mit Hilfe
einer manipulierten Bilddatei ausnutzen, um Befehle mit den Rechten
der Anwendung auszufuehren.
CVE-2009-0733 – Schwachstelle in LittleCms erlaubt Codeausfuehrung
Im Programm LittleCms existiert eine Schwachstelle bei der
Groessenueberpruefung von Variablenwerten. Diese Schwachstelle fuehrt
dazu, dass Buffergroessen falsch berechnet werden und ein Buffer
Overflow auftreten kann. Gelingt es einem Angreifer diese
Schwachstelle auszunutzen, kann er beliebige Befehle mit den Rechten
der betroffenen Anwendung ausfuehren.
CVE-2009-0581 – Speicherleck in LittleCms
Die Farbmanagement Software LittleCms enthaelt eine nicht naeher
beschriebene Schwachstelle, die ein Speicherleck in der Anwendung
hervorruft. Ein Angreifer kann mit diese Schwachstelle ausnutzen, um
einen Absturz der Anwendung auszuloesen (Denial of Service).
Betroffen sind die folgenden Software Pakete und Plattformen:
Paket lcms
Fedora 9
Fedora 10
Vom Hersteller werden ueberarbeitete Pakete zur Verfuegung gestellt.
Hersteller Advisory:
https://www.redhat.com/archives/fedora-package-announce/2009-March/msg00811.html
https://www.redhat.com/archives/fedora-package-announce/2009-March/msg00799.html
https://www.redhat.com/archives/fedora-package-announce/2009-March/msg00851.html
https://www.redhat.com/archives/fedora-package-announce/2009-March/msg00794.html
(c) der deutschen Zusammenfassung bei DFN-CERT Services GmbH; die
Verbreitung, auch auszugsweise, ist nur unter Hinweis auf den Urheber,
DFN-CERT Services GmbH, und nur zu nicht kommerziellen Zwecken
gestattet.
Mit freundlichen Gruessen,
Torsten Voss
– —
Dipl.-Ing.(FH) Torsten Voss (Incident Response Team)
DFN-CERT Services GmbH, https://www.dfn-cert.de, Phone +49 40 808077-555
Sitz / Register: Hamburg, AG Hamburg, HRB 88805, Ust-IdNr.: DE 232129737
Sachsenstrasse 5, 20097 Hamburg/Germany, CEO: Dr. Klaus-Peter Kossakowski
Automatische Warnmeldungen https://www.cert.dfn.de/autowarn
– ——————————————————————————–
Fedora Update Notification
FEDORA-2009-2903
2009-03-23 15:15:48
– ——————————————————————————–
Name : lcms
Product : Fedora 10
Version : 1.18
Release : 1.fc10
URL : http://www.littlecms.com/
Summary : Color Management System
Description :
LittleCMS intends to be a small-footprint, speed optimized color management
engine in open source form.
– ——————————————————————————–
ChangeLog:
* Mon Mar 23 2009 kwizart < kwizart at gmail.com > – 1.18-1
– – Update to 1.18 (final)
– – Remove upstreamed patches
– – Disable autoreconf – patch libtool to prevent rpath issue
* Fri Mar 20 2009 kwizart < kwizart at gmail.com > – 1.18-0.1.beta2
– – Update to 1.18beta2
fix bug #487508: CVE-2009-0723 LittleCms integer overflow
fix bug #487512: CVE-2009-0733 LittleCms lack of upper-bounds check on sizes
fix bug #487509: CVE-2009-0581 LittleCms memory leak
* Mon Mar 2 2009 kwizart < kwizart at gmail.com > – 1.17-10
– – Fix circle dependency #452352
* Wed Feb 25 2009 Fedora Release Engineering
– – Rebuilt for https://fedoraproject.org/wiki/Fedora_11_Mass_Rebuild
* Thu Dec 4 2008 kwizart < kwizart at gmail.com > – 1.17-8
– – Fix autoreconf and missing auxiliary files.
* Sat Nov 29 2008 Ignacio Vazquez-Abrams
– – Rebuild for Python 2.6
– ——————————————————————————–
References:
[ 1 ] Bug #487508 – CVE-2009-0723 LittleCms integer overflow
https://bugzilla.redhat.com/show_bug.cgi?id=487508
[ 2 ] Bug #487512 – CVE-2009-0733 LittleCms lack of upper-bounds check on sizes
https://bugzilla.redhat.com/show_bug.cgi?id=487512
[ 3 ] Bug #487509 – CVE-2009-0581 LittleCms memory leak
https://bugzilla.redhat.com/show_bug.cgi?id=487509
– ——————————————————————————–
This update can be installed with the “yum” update program. Use
su -c ‘yum update lcms’ at the command line.
For more information, refer to “Managing Software with yum”,
available at http://docs.fedoraproject.org/yum/.
All packages are signed with the Fedora Project GPG key. More details on the
GPG keys used by the Fedora Project can be found at
http://fedoraproject.org/keys
– ——————————————————————————–
—–BEGIN PGP SIGNATURE—–
Version: GnuPG v1.4.2 (GNU/Linux)
iD8DBQFJyOp6k0kIxZMiiQ8RAn00AKCxDextNwBacoqyNKuYX8r4vyTC+ACgyjB9
d9nFIY0ZyU8wyyJ5Y9H371Y=
=uiDq
—–END PGP SIGNATURE—–
