UPDATE: DFN-CERT-2014-0288 File: Eine Schwachstelle ermöglicht das Ausführen beliebigen Programmcodes [Linux][Debian][Fedora][SuSE]

UPDATE: DFN-CERT-2014-0288 File: Eine Schwachstelle ermöglicht das Ausführen beliebigen Programmcodes [Linux][Debian][Fedora][SuSE]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 4 (20.05.2014):
SUSE hat Sicherheitsupdates für die Distributionen SUSE Linux Enterprise
Software Development Kit 11 SP3, SUSE Linux Enterprise Server 11 SP3 for
VMware, SUSE Linux Enterprise Server 11 SP3 und SUSE Linux Enterprise
Desktop 11 SP3 veröffentlicht.
Version 3 (08.04.2014):
Ubuntu hat Updates für die Distributionen Ubuntu 10.04 LTS,Ubuntu 12.04
LTS, Ubuntu 12.10 und Ubuntu 13.10 herausgebracht.
Version 2 (12.03.2014):
Debian hat Updates für die Distributionen ‘Squeeze’, ‘Wheezy’ und ‘Jessie’
herausgebracht.
Version 1 (08.03.2014):
Neues Advisory

Betroffene Software:

File <= 5.13 PHP <= 5.5.9 Betroffene Plattformen: SUSE Software Development Kit 11 SP3 Enterprise Canonical Ubuntu Linux 10.04 Lts Canonical Ubuntu Linux 12.04 Lts Canonical Ubuntu Linux 12.10 Canonical Ubuntu Linux 13.10 Debian Linux 6.0.9 Squeeze Debian Linux 7.4 Wheezy Debian Linux 8.0 Jessie openSUSE SUSE Linux Enterprise Desktop 11 SP3 SUSE Linux Enterprise Server 11 SP3 SUSE Linux Enterprise Server 11 SP3 VMware Red Hat Fedora 19 Red Hat Fedora 20 Ein entfernter, nicht authentifizierter Angreifer kann diese Schwachstelle ausnutzen, um durch eine speziell präparierte PE-Datei mit dem Absturz der Anwendung einen Denial-of-Service-Zustand zu erreichen oder beliebigen Programmcode zur Ausführung zu bringen. Bitte beachten Sie, dass für die jeweiligen Betriebssystemvarianten die Korrekturen in jeweils unterschiedlichen Versionen des Programms erfolgten. Patch: Fedora Update FEDORA-2014-3589 https://admin.fedoraproject.org/updates/FEDORA-2014-3589/file-5.11-13.fc19

Patch:

Fedora Update FEDORA-2014-3606

https://admin.fedoraproject.org/updates/FEDORA-2014-3606/file-5.14-17.fc20

Patch:

Debian Security Advisory DSA-2873

http://www.debian.org/security/2014/dsa-2873

Patch:

Ubuntu Security Notice USN-2162-1

http://www.ubuntu.com/usn/usn-2162-1/

Patch:

Ubuntu Security Notice USN-2163-1

http://www.ubuntu.com/usn/usn-2163-1/

Patch:

SUSE Security Advisory SUSE-SU-2014:0670-1

https://www.suse.com/support/update/announcement/2014/suse-su-20140670-1.html

CVE-2014-2270: Fehler beim Parsen des Portable Executable (PE) Formats

Bei der Bestimmung von Dateien des Typs Portable Executable (PE), das von
Windows-Programmdateien benutzt wird, kann es zu einem Fehler bei
Speicherzugriffen kommen. Ein entfernter, nicht authentifizierter Angreifer
kann diese Schwachstelle ausnutzen, um durch eine speziell präparierte
PE-Datei mit dem Absturz der Anwendung einen Denial-of-Service-Zustand zu
erreichen oder beliebigen Programmcode zur Ausführung zu bringen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-0288/

Schwachstelle CVE-2014-2270 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-2270

Fedora Update FEDORA-2014-3589:
https://admin.fedoraproject.org/updates/FEDORA-2014-3589/file-5.11-13.fc19

Fedora Update FEDORA-2014-3606:
https://admin.fedoraproject.org/updates/FEDORA-2014-3606/file-5.14-17.fc20

Debian Security Advisory DSA-2873:
http://www.debian.org/security/2014/dsa-2873

Ubuntu Security Notice USN-2162-1:
http://www.ubuntu.com/usn/usn-2162-1/

Ubuntu Security Notice USN-2163-1:
http://www.ubuntu.com/usn/usn-2163-1/

SUSE Security Advisory SUSE-SU-2014:0670-1:
https://www.suse.com/support/update/announcement/2014/suse-su-20140670-1.html

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.

© COMPUTEC MEDIA GmbH
Nach oben