UPDATE: DFN-CERT-2014-0256 MuPDF: Eine Schwachstelle ermöglicht das Ausführen beliebigen Programmcodes [Linux][Debian][SuSE]

UPDATE: DFN-CERT-2014-0256 MuPDF: Eine Schwachstelle ermöglicht das Ausführen beliebigen Programmcodes [Linux][Debian][SuSE]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 2 (06.06.2014):
Neues Advisory
Version 1 (28.02.2014):
Neues Advisory

Betroffene Software:

MuPDF <= 1.3 Betroffene Plattformen: Debian Linux 7.5 Wheezy Debian Linux 8.0 Jessie openSUSE 13.1 Ein entfernter, nicht authentifizierter Angreifer kann diese Schwachstelle ausnutzen, um die Anwendung zum Absturz zu bringen oder beliebige Befehle auszuführen, wenn ein Benutzer ein speziell präpariertes XPS-Dokument öffnet. Update: Debian stellt für die Distribution Wheezy (stable) und Jessie (testing) Sicherheitsupdates für das Paket MuPDF zur Verfügung. Patch: openSUSE Security Update openSUSE-SU-2014:0309 http://lists.opensuse.org/opensuse-updates/2014-02/msg00088.html

Patch:

Debian Security Advisory DSA-2951-1

https://www.debian.org/security/2014/dsa-2951

CVE-2014-2013: Schwachstelle in MuPDF

In der Funktion xps_parse_color() kann es aufgrund unzureichender
Überprüfung von Puffergrenzen zu einem Pufferüberlauf kommen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-0256/

openSUSE Security Update openSUSE-SU-2014:0309:
http://lists.opensuse.org/opensuse-updates/2014-02/msg00088.html

Schwachstelle CVE-2014-2013 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-2013

Debian Security Advisory DSA-2951-1:
https://www.debian.org/security/2014/dsa-2951

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.

© COMPUTEC MEDIA GmbH
Nach oben