Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Historie:
Version 4 (14.11.2013):
Die Schwachstelle ist in den NetBSD-Distributionen behoben.
Version 3 (31.10.2013):
Die Schwachstelle ist in der Distributionen openSUSE 11.4,12.2 und 12.3
behoben.
Version 2 (23.10.2013):
Die Schwachstelle ist auch in den Distributionen Squeeze, Wheezy und
Jessie behoben.
Version 1 (16.10.2013):
Neues Advisory
Betroffene Software:
Canonical Ubuntu Linux <= 12.04 Lts Canonical Ubuntu Linux <= 12.10 Canonical Ubuntu Linux <= 13.04 Debian Linux <= 6.2 Squeeze Debian Linux <= 7.2 Wheezy Debian Linux <= 8.0 Jessie NetBSD <= 5.1.2 NetBSD <= 5.2 NetBSD <= 6.0.3 NetBSD <= 6.1.2 openSUSE <= 11.4 openSUSE <= 12.2 openSUSE <= 12.3 Red Hat Enterprise Linux <= 5 Red Hat Enterprise Linux <= 6 Betroffene Plattformen: Debian Linux NetBSD RedHat SuSE Ubuntu UNIX Durch den Fehler in der Speicherverwaltung kann ein entfernter, authentifizierter Benutzer als Angreifer entweder einen Denial-of-Service Angriff durchführen oder beliebigen Code mit den Rechten des X-Servers ausführen. Patch: Red Hat Security Advisory RHSA-2013-1426 http://rhn.redhat.com/errata/RHSA-2013-1426.html
Patch:
https://bugzilla.redhat.com/show_bug.cgi?id=1014561
https://bugzilla.redhat.com/show_bug.cgi?id=1014561
Patch:
Ubuntu Security Notice USN-1990-1
http://www.ubuntu.com/usn/usn-1990-1
Patch:
Debian Security Advisory DSA-2784
http://www.debian.org/security/2013/dsa-2784
Patch:
openSUSE Security Update openSUSE-SU-2013:1614-1
http://lists.opensuse.org/opensuse-updates/2013-10/msg00060.html
Patch:
openSUSE Security Update openSUSE-SU-2013:1610-1
http://lists.opensuse.org/opensuse-updates/2013-10/msg00056.html
Patch:
NetBSD Hersteller-Advisory SA2013-010
http://ftp.NetBSD.org/pub/NetBSD/security/advisories/NetBSD-SA2013-010.txt.asc
CVE-2013-4396: Use-after-Free-Fehler im X.Org X11 Server
In der Funktion doImage() der Datei ‘dix/dixfonts.c’ erlaubt ein
Use-after-Free-Fehler entfernten, authentifizierten Benutzern als Angreifer,
manipulierte Anfragen für Image-Text zu erzeugen. Dies kann zu einem
Denial-of-Service-Zustand führen oder zum Ausführen von beliebigem Code mit
den Rechten des X-Servers genutzt werden.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2013-1786/
Schwachstelle CVE-2013-4396 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-4396
Red Hat Security Advisory RHSA-2013-1426:
http://rhn.redhat.com/errata/RHSA-2013-1426.html
https://bugzilla.redhat.com/show_bug.cgi?id=1014561:
https://bugzilla.redhat.com/show_bug.cgi?id=1014561
Ubuntu Security Notice USN-1990-1:
http://www.ubuntu.com/usn/usn-1990-1
Debian Security Advisory DSA-2784:
http://www.debian.org/security/2013/dsa-2784
openSUSE Security Update openSUSE-SU-2013:1614-1:
http://lists.opensuse.org/opensuse-updates/2013-10/msg00060.html
openSUSE Security Update openSUSE-SU-2013:1610-1:
http://lists.opensuse.org/opensuse-updates/2013-10/msg00056.html
NetBSD Hersteller-Advisory SA2013-010:
http://ftp.NetBSD.org/pub/NetBSD/security/advisories/NetBSD-SA2013-010.txt.asc
(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.
