UPDATE: DFN-CERT-2013-1575 Bibliothek libmodplug: Zwei Schwachstellen ermöglichen das Ausführen beliebigen Programmcodes [Linux][Debian][Fedora][SuSE]

UPDATE: DFN-CERT-2013-1575 Bibliothek libmodplug: Zwei Schwachstellen ermöglichen das Ausführen beliebigen Programmcodes [Linux][Debian][Fedora][SuSE]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 5 (01.09.2014):
Für Fedora EPEL 6 steht ein Sicherheitsupdate zur Verfügung.
Version 4 (13.03.2014):
Fedora hat Sicherheitsupdates für die Versionen 19 und 20 veröffentlicht.
Version 3 (08.11.2013):
Update für openSUSE 11.4 verfügbar.
Version 2 (07.11.2013):
Update für openSUSE 12.2 und 12.3 verfügbar.
Version 1 (05.09.2013):
Neues Advisory

Betroffene Software:

Bibliothek libmodplug <= 0.8.8.4 Betroffene Plattformen: Debian Linux <= 6.0.8 Squeeze Debian Linux <= 7.1 Wheezy Debian Linux <= 8.0 Jessie openSUSE <= 11.4 openSUSE <= 12.2 openSUSE <= 12.3 Red Hat Fedora 19 Red Hat Fedora 20 Extra Packages for Red Hat Enterprise Linux 6 Zwei Schwachstellen in der Bibliothek libmodplug ermöglichen einem entfernten Angreifer beliebige Befehle zur Ausführung zu bringen. Patch: Debian Security Advisory DSA-2751 http://www.debian.org/security/2013/dsa-2751

Patch:

openSUSE Security Update openSUSE-SU-2013:1635-1

http://lists.opensuse.org/opensuse-updates/2013-11/msg00008.html

Patch:

openSUSE Security Update openSUSE-SU-2013:1637-1

http://lists.opensuse.org/opensuse-updates/2013-11/msg00010.html

Patch:

Fedora Security Update FEDORA-2014-3791

https://admin.fedoraproject.org/updates/FEDORA-2014-3791/libmodplug-0.8.8.5-1.fc19

Patch:

Fedora Security Update FEDORA-2014-3795

https://admin.fedoraproject.org/updates/FEDORA-2014-3795/libmodplug-0.8.8.5-1.fc20

Patch:

Fedora Security Update FEDORA-EPEL-2014-2299

https://admin.fedoraproject.org/updates/FEDORA-EPEL-2014-2299/libmodplug-0.8.8.5-1.el6

CVE-2013-4234: Bibliothek libmodplug: Schwachstelle ermöglicht Ausführung
beliebiger Befehle

In der Bibliothek libmodplug kann es in der Funktion abc_MIDI_drum() in der
Datei ‘src/load_abc.cpp’ zu einem Buffer Overflow kommen. Dies ermöglicht
einem entfernten Angreifer durch das Bereitstellen einer präparierten
ABC-Datei beliebige Befehle zur Ausführung zu bringen.

CVE-2013-4233: Bibliothek libmodplug: Schwachstelle ermöglicht Ausführung
beliebiger Befehle

In der Bibliothek libmodplug kann es in der Funktion abc_set_parts() in der
Datei ‘src/load_abc.cpp’ zu einem Integer Overflow kommen. Dies ermöglicht
einem entfernten Angreifer durch das Bereitstellen einer präparierten
ABC-Datei den Heap-Speicher zu korrumpieren und beliebige Befehle zur
Ausführung zu bringen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2013-1575/

Schwachstelle CVE-2013-4233 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-4233

Debian Security Advisory DSA-2751:
http://www.debian.org/security/2013/dsa-2751

Schwachstelle CVE-2013-4234 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-4234

openSUSE Security Update openSUSE-SU-2013:1635-1:
http://lists.opensuse.org/opensuse-updates/2013-11/msg00008.html

openSUSE Security Update openSUSE-SU-2013:1637-1:
http://lists.opensuse.org/opensuse-updates/2013-11/msg00010.html

Fedora Security Update FEDORA-2014-3791:
https://admin.fedoraproject.org/updates/FEDORA-2014-3791/libmodplug-0.8.8.5-1.fc19

Fedora Security Update FEDORA-2014-3795:
https://admin.fedoraproject.org/updates/FEDORA-2014-3795/libmodplug-0.8.8.5-1.fc20

Fedora Security Update FEDORA-EPEL-2014-2299:
https://admin.fedoraproject.org/updates/FEDORA-EPEL-2014-2299/libmodplug-0.8.8.5-1.el6

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben