Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Historie:
Version 3 (05.10.2013):
Debian hat ein Update herausgegeben.
Version 2 (03.10.2013):
Die Schwachstelle ist in SUSE Linux Enterprise Desktop 11 SP2 und SP3
behoben.
Version 1 (20.09.2013):
Neues Advisory
Betroffene Software:
IcedTea <= 1.4 openSUSE <= 11.4 openSUSE <= 12.2 openSUSE <= 12.3 SUSE Linux Enterprise Desktop <= 11.0 Sp2 SUSE Linux Enterprise Desktop <= 11.0 Sp3 Red Hat Fedora <= 18 Red Hat Fedora <= 19 Red Hat Fedora <= 20 Betroffene Plattformen: Fedora Linux RedHat SuSE UNIX Entfernte Angreifer können diese Schwachstelle ausnutzen, um IcedTea-Plugins zum Absturz zu bringen oder beliebige Befehle mit den Rechten des Benutzers auszuführen. Patch: Fedora Update FEDORA-2013-16971 https://admin.fedoraproject.org/updates/FEDORA-2013-16971/icedtea-web-1.4.1-0.fc20
Patch:
Fedora Update FEDORA-2013-17016
https://admin.fedoraproject.org/updates/FEDORA-2013-17016/icedtea-web-1.4.1-0.fc18
Patch:
openSUSE-SU-2013:1511-1
http://lists.opensuse.org/opensuse-updates/2013-09/msg00073.html
Patch:
openSUSE-SU-2013:1509-1
http://lists.opensuse.org/opensuse-updates/2013-09/msg00071.html
Patch:
Fedora Update FEDORA-2013-17026
https://admin.fedoraproject.org/updates/FEDORA-2013-17026/icedtea-web-1.4.1-0.fc19
Patch:
Red Hat Security Advisory RHSA-2012-1434
http://rhn.redhat.com/errata/RHSA-2012-1434.html
Patch:
SUSE-SU-2013:1520-1
http://lists.opensuse.org/opensuse-security-announce/2013-10/msg00000.html
CVE-2013-4349: Die Schwachstelle CVE-2012-4540 bestand weiterhin icedtea-web
Die Schwachstelle CVE-2012-4540 wurde im ersten Schritt nicht richtig
geschlossen und machte ein weiteres Update notwendig.
CVE-2012-4540: Pufferüberlauf in IcedTea-Web
In dem Browser-Plug-in von IcedTea-Web 1.1.x vor 1.1.7, 1.2.x vor 1.2.2 und
1.3.x vor 1.3.1 wird beim Reservieren von Speicherplatz für Fehlermeldungen
das abschließende Null-Byte nicht berücksichtigt. Dies führt zu einem
Buffer-Overflow um ein Byte (off-by-one) im Heap-Segment.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2013-1674/
Schwachstelle CVE-2012-4540 (Red Hat):
https://access.redhat.com/security/cve/CVE-2012-4540
Schwachstelle CVE-2013-4349 (Red Hat):
https://access.redhat.com/security/cve/CVE-2013-4349
Schwachstelle CVE-2012-4540 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2012-4540
Fedora Update FEDORA-2013-16971:
https://admin.fedoraproject.org/updates/FEDORA-2013-16971/icedtea-web-1.4.1-0.fc20
Fedora Update FEDORA-2013-17016:
https://admin.fedoraproject.org/updates/FEDORA-2013-17016/icedtea-web-1.4.1-0.fc18
openSUSE-SU-2013:1511-1:
http://lists.opensuse.org/opensuse-updates/2013-09/msg00073.html
openSUSE-SU-2013:1509-1:
http://lists.opensuse.org/opensuse-updates/2013-09/msg00071.html
Fedora Update FEDORA-2013-17026:
https://admin.fedoraproject.org/updates/FEDORA-2013-17026/icedtea-web-1.4.1-0.fc19
Schwachstelle CVE-2013-4349 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-4349
Red Hat Security Advisory RHSA-2012-1434:
http://rhn.redhat.com/errata/RHSA-2012-1434.html
Schwachstelle CVE-2012-4540 (RedHat):
https://www.redhat.com/security/data/cve/CVE-2012-4540.html
SUSE-SU-2013:1520-1:
http://lists.opensuse.org/opensuse-security-announce/2013-10/msg00000.html
(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.
