Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Historie:
Version 6 (13.02.2014):
SUSE stellt Sicherheitsupdates für SUSE Linux Enterprise Software
Development Kit 11 SP2 und SP3, SUSE Linux Enterprise Server 11 SP2 und
SP3 inklusive VMware Variante sowie SUSE Linux Enterprise Desktop 11 SP2
und SP3 bereit.
Version 5 (16.01.2014):
openSUSE stellt nun für die Versionen 11.4, 12.2, 12.3 und 13.1 ebenfalls
Sicherheitsupdates zur Verfügung.
Version 4 (14.01.2014):
Es wurden Sicherheitsupdates für openBSD veröffentlicht.
Version 3 (10.01.2014):
Patches für Red Hat Enterprise Linux 5 und 6 werden zur Verfügung
gestellt.
Version 2 (09.01.2014):
Patches für Fedora 19 und 20 werden zur Verfügung gestellt.
Version 1 (08.01.2014):
Neues Advisory
Betroffene Software:
libXfont <= 1.4.6 Betroffene Plattformen: Novell SUSE Software Development Kit 11 SP2 Enterprise Novell SUSE Software Development Kit 11 SP3 Enterprise Canonical Ubuntu Linux 10.04 Lts Canonical Ubuntu Linux 12.04 Lts Canonical Ubuntu Linux 12.10 Canonical Ubuntu Linux 13.04 Canonical Ubuntu Linux 13.10 Debian Linux 6.0.8 Squeeze Debian Linux 7.3 Wheezy NetBSD 5.1.2 NetBSD 5.2 NetBSD 6.0.2 NetBSD 6.1 openSUSE 11.4 openSUSE 12.2 openSUSE 12.3 openSUSE 13.1 Novell SUSE Linux Enterprise Desktop 11 SP2 Novell SUSE Linux Enterprise Desktop 11 SP3 Novell SUSE Linux Enterprise Server 11 SP2 Novell SUSE Linux Enterprise Server 11 SP2 VMware Novell SUSE Linux Enterprise Server 11 SP3 Novell SUSE Linux Enterprise Server 11 SP3 VMware OpenBSD 5.3 OpenBSD 5.4 Red Hat Enterprise Linux 5 Server Red Hat Enterprise Linux 6 Server Red Hat Enterprise Linux 6 Workstation Red Hat Enterprise Linux Desktop 5 Client Red Hat Enterprise Linux Desktop 5 Workstation/Client Red Hat Enterprise Linux Desktop 6.0 Red Hat Fedora 19 Red Hat Fedora 20 Eine Schwachstelle in der Bibliothek libXfont ermöglicht es einem entfernten, nicht authentifizierten Angreifer einen Denial-of-Service-Angriff durchzuführen oder beliebige Befehle als Administrator auszuführen. Patch: Debian Security Advisory DSA-2838 http://www.debian.org/security/2014/dsa-2838
Patch:
Ubuntu Security Notice USN-2078-1
http://www.ubuntu.com/usn/usn-2078-1/
Patch:
NetBSD Hersteller-Advisory SA2014-001
http://ftp.NetBSD.org/pub/NetBSD/security/advisories/NetBSD-SA2014-001.txt.asc
Patch:
Fedora Update FEDORA-2014-0467
https://admin.fedoraproject.org/updates/FEDORA-2014-0467/libXfont-1.4.5-5.fc19
Patch:
Fedora Update FEDORA-2014-0443
https://admin.fedoraproject.org/updates/FEDORA-2014-0443/libXfont-1.4.7-1.fc20
Patch:
Red Hat Update RHSA-2014-0018-1
http://rhn.redhat.com/errata/RHSA-2014-0018.html
Patch:
OpenBSD 5.3 Patch libXfont
http://ftp.openbsd.org/pub/OpenBSD/patches/5.3/common/013_libXfont.patch
Patch:
OpenBSD 5.4 Patch libXfont
http://ftp.openbsd.org/pub/OpenBSD/patches/5.4/common/006_libXfont.patch
Patch:
openSUSE Security Update: openSUSE-SU-2014:0073-1
http://lists.opensuse.org/opensuse-updates/2014-01/msg00050.html
Patch:
openSUSE Security Update: openSUSE-SU-2014:0075-1
http://lists.opensuse.org/opensuse-updates/2014-01/msg00052.html
Patch:
SUSE Security Update SUSE-SU-2014:0219-1
https://www.suse.com/support/update/announcement/2014/suse-su-20140219-1.html
CVE-2013-6462: Schwachstelle in der libXfont
Eine Schwachstelle in der libXfont führt dazu, dass Glyph Bitmap
Distribution Format (BDF) Font Dateien nicht korrekt verarbeitet werden und
einen Stack-Speicher-Überlauf auslösen.
Ein entfernter, nicht authentifizierter Angreifer kann durch präparierte
Glyph Bitmap Distribution Format (BDF) Dateien einen
Denial-of-Service-Angriff durchführen oder beliebige Befehle mit
Administrationsrechten ausführen.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-0022/
Debian Security Advisory DSA-2838:
http://www.debian.org/security/2014/dsa-2838
Ubuntu Security Notice USN-2078-1:
http://www.ubuntu.com/usn/usn-2078-1/
NetBSD Hersteller-Advisory SA2014-001:
http://ftp.NetBSD.org/pub/NetBSD/security/advisories/NetBSD-SA2014-001.txt.asc
Schwachstelle CVE-2013-6462 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-6462
Fedora Update FEDORA-2014-0467:
https://admin.fedoraproject.org/updates/FEDORA-2014-0467/libXfont-1.4.5-5.fc19
Fedora Update FEDORA-2014-0443:
https://admin.fedoraproject.org/updates/FEDORA-2014-0443/libXfont-1.4.7-1.fc20
Red Hat Update RHSA-2014-0018-1:
http://rhn.redhat.com/errata/RHSA-2014-0018.html
OpenBSD 5.3 Patch libXfont :
http://ftp.openbsd.org/pub/OpenBSD/patches/5.3/common/013_libXfont.patch
OpenBSD 5.4 Patch libXfont :
http://ftp.openbsd.org/pub/OpenBSD/patches/5.4/common/006_libXfont.patch
openSUSE Security Update: openSUSE-SU-2014:0073-1:
http://lists.opensuse.org/opensuse-updates/2014-01/msg00050.html
openSUSE Security Update: openSUSE-SU-2014:0075-1:
http://lists.opensuse.org/opensuse-updates/2014-01/msg00052.html
SUSE Security Update SUSE-SU-2014:0219-1:
https://www.suse.com/support/update/announcement/2014/suse-su-20140219-1.html
(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.
