[Fedora] Schwachstelle in gif2png – FEDORA-2010-0330

[Fedora] Schwachstelle in gif2png - FEDORA-2010-0330

Von

—–BEGIN PGP SIGNED MESSAGE—–
Hash: SHA1

Liebe Kolleginnen und Kollegen,

soeben erreichte uns nachfolgendes Fedora Security Advisory. Wir geben
diese Informationen unveraendert an Sie weiter.

RedHat Bug ID 547515 / Debian 550978 – Buffer Overflow in gif2png

In gif2png, einem Programm zur Konvertierung von GIF in PNG Dateien,
laesst sich beim Parsen der Kommandozeilenargumente ein Buffer Overflow
ausloesen. Angreifer koennen diese Schwachstelle dazu ausnutzen, dass
Programm zum Absturz zu bringen und moeglicherweise beliebigen Code mit
den Rechten des Benutzers auszufuehren.

Betroffen sind die folgenden Software Pakete und Plattformen:

Paket gif2png

Fedora 11

Vom Hersteller werden ueberarbeitete Pakete zur Verfuegung gestellt.

Hersteller Advisory:
http://lists.fedoraproject.org/pipermail/package-announce/2010-January/033890.html

(c) der deutschen Zusammenfassung bei DFN-CERT Services GmbH; die
Verbreitung, auch auszugsweise, ist nur unter Hinweis auf den Urheber,
DFN-CERT Services GmbH, und nur zu nicht kommerziellen Zwecken
gestattet.

Mit freundlichen Gruessen,
Klaus Moeller, DFN-CERT

– —
Dipl. Inform. Klaus Moeller (Incident Response Team)
Phone: +49 40 808077-555, Fax: +49 40 808077-556

DFN-CERT Services GmbH, https://www.dfn-cert.de, Phone +49 40 808077-555
Sitz / Register: Hamburg, AG Hamburg, HRB 88805, Ust-IdNr.: DE 232129737
Sachsenstrase 5, 20097 Hamburg/Germany, CEO: Dr. Klaus-Peter Kossakowski

17. DFN Workshop “Sicherheit in vernetzten Systemen” 09./10.02.2010
Informationen unter https://www.dfn-cert.de/veranstaltungen/workshop.html

– ——————————————————————————–
Fedora Update Notification
FEDORA-2010-0330
2010-01-08 19:39:03
– ——————————————————————————–

Name : gif2png
Product : Fedora 11
Version : 2.5.1
Release : 1102.fc11
URL : http://www.catb.org/~esr/gif2png/
Summary : A GIF to PNG converter
Description :
The gif2png program converts files from the obsolescent Graphic Interchange
Format to Portable Network Graphics. The conversion preserves all graphic
information, including transparency, perfectly. The gif2png program can
even recover data from corrupted GIFs.

There exists a ‘web2png’ program in a separate package which is able
to convert entire directory hierarchies.

– ——————————————————————————–
ChangeLog:

* Tue Jan 5 2010 Enrico Scholz – 2.5.1-1102
– – catch another possible overflow when appending a numbered suffix
(detected to Tomas Hoger)
– – applied the -overflow patch…
* Sat Jan 2 2010 Enrico Scholz – 2.5.1-1101
– – changed -overflow patch to abort on bad filenames instead of
processing truncated ones
* Fri Jan 1 2010 Enrico Scholz – 2.5.1-1100
– – fixed command line buffer overflow (#547515)
– ——————————————————————————–
References:

[ 1 ] Bug #547515 – gif2png: command-line buffer overflow problem
https://bugzilla.redhat.com/show_bug.cgi?id=547515
– ——————————————————————————–

This update can be installed with the “yum” update program. Use
su -c ‘yum update gif2png’ at the command line.
For more information, refer to “Managing Software with yum”,
available at http://docs.fedoraproject.org/yum/.

All packages are signed with the Fedora Project GPG key. More details on the
GPG keys used by the Fedora Project can be found at
http://fedoraproject.org/keys
– ——————————————————————————–
—–BEGIN PGP SIGNATURE—–
Version: GnuPG v1.4.2 (GNU/Linux)

iD8DBQFLTenQWmhIvjFb90URAuBVAJ9ZFVSjVcSl2D6kbrbNvQRulDB69gCfXZ2N
66lAsOa/5QgdrrLDtEGF94w=
=ZnUB
—–END PGP SIGNATURE—–

© COMPUTEC MEDIA GmbH
Nach oben