Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 9 (01.12.2014):
Red Hat stellt für Red Hat Enterprise Linux 5 für Desktop Workstation
(Client), Server und Desktop (Client) Sicherheitsupdates zur Verfügung.
Version 8 (19.11.2014):
Red Hat stellt Sicherheitsupdates bereit für die Red Hat Enterprise Linux
Distributionen Desktop 6 und 7, HPC Node 6 und 7, Server 6 und 7, Server
EUS 6.6.z, Workstation 6 und 7.

Version 7 (10.07.2014):
Für die Distributionen Fedora 19 und Fedora 20 wurden Sicherheitsupdates
bereitgestellt.
Version 6 (11.06.2014):
Für SUSE Linux Enterprise 11 SP3 stehen für Software Development Kit,
Server, Server für VMware und Desktop
Sicherheitsupdates bereit.
Version 5 (28.05.2014):
Für die betroffenen Branches NetBSD 6.1 – 6.1.4, NetBSD 6.0 – 6.0.5,
NetBSD 5.1 – 5.1.4 und NetBSD 5.2 – 5.2.2 werden Sicherheitsupdates zur
Verfügung gestellt.
Version 4 (26.05.2014):
Für die Distributionen OpenBSD 5.4 und OpenBSD 5.5 werden
Sicherheitsupdates zur Verfügung gestellt.
Version 3 (23.05.2014):
Für die Distributionen openSUSE 13.1 und openSUSE 12.3 werden
Sicherheitsupdates zur Verfügung gestellt.
Version 2 (14.05.2014):
Von Ubuntu werden Sicherheitsupdates für die Distributionen 14.04 LTS,
13.10, 12.10, 12.04 LTS und 10.04 LTS zur Verfügung gestellt.
Version 1 (14.05.2014):
Neues Advisory

Betroffene Software:

libXfont <= 1.4.7 Betroffene Plattformen: SuSE SUSE Linux Enterprise Software Development Kit 11 SP3 Enterprise Canonical Ubuntu Linux 10.04 Lts Canonical Ubuntu Linux 12.04 Lts Canonical Ubuntu Linux 12.10 Canonical Ubuntu Linux 13.10 Canonical Ubuntu Linux 14.04 Lts Debian Linux 6.0.9 Squeeze Debian Linux 7.5 Wheezy NetBSD >= 5.1
NetBSD <= 5.1.4 NetBSD >= 5.2
NetBSD <= 5.2.2 NetBSD >= 6.0
NetBSD <= 6.0.5 NetBSD >= 6.1
NetBSD <= 6.1.4 openSUSE 12.3 openSUSE 13.1 SUSE Linux Enterprise Desktop 11 SP3 SUSE Linux Enterprise Server 11 SP3 SUSE Linux Enterprise Server 11 SP3 VMware OpenBSD 5.4 OpenBSD 5.5 Red Hat Enterprise Linux Desktop 5 Client Red Hat Enterprise Linux Desktop 5 Workstation/Client Red Hat Enterprise Linux Desktop 6 Red Hat Enterprise Linux Desktop 7 Red Hat Enterprise Linux HPC Node 6 Red Hat Enterprise Linux HPC Node 7 Red Hat Enterprise Linux Server 5 Red Hat Enterprise Linux Server 6 Red Hat Enterprise Linux Server 6.6.z EUS Red Hat Enterprise Linux Server 7 Red Hat Enterprise Linux Workstation 6 Red Hat Enterprise Linux Workstation 7 Red Hat Fedora 19 Red Hat Fedora 20 Es bestehen mehrere Schwachstellen in der Bibliothek libXfont. Ein entfernter, nicht authentifizierter Angreifer kann beliebigen Programmcode mit den Rechten des X-Servers ausführen. Ein lokaler, einfach authentifizierter Angreifer kann seine Privilegien erweitern. Patch: Debian Security Advisory DSA-2927-1 https://www.debian.org/security/2014/dsa-2927

Patch:

Ubuntu Security Notice USN-2211-1

http://www.ubuntu.com/usn/usn-2211-1/

Patch:

openSUSE Security Update: openSUSE-SU-2014:0711-1

http://lists.opensuse.org/opensuse-updates/2014-05/msg00073.html

Patch:

OpenBSD Security Advisory OpenBSD-ADV-007_sendmail

http://www.openbsd.org/errata55.html

Patch:

OpenBSD Security Advisory OpenBSD-ADV-011_sendmail

http://www.openbsd.org/errata54.html

Patch:

NetBSD Security Advisory NetBSD-SA2014-005

http://ftp.NetBSD.org/pub/NetBSD/security/advisories/NetBSD-SA2014-005.txt.asc

Patch:

SUSE Security Update: SUSE-SU-2014:0774-1

https://www.suse.com/support/update/announcement/2014/suse-su-20140774-1.html

Patch:

Fedora Security Update FEDORA-2014-8208

https://admin.fedoraproject.org/updates/FEDORA-2014-8208/libXfont-1.4.8-1.fc20

Patch:

Fedora Security Update FEDORA-2014-8223

https://admin.fedoraproject.org/updates/FEDORA-2014-8223/libXfont-1.4.8-1.fc19

Patch:

Red Hat Security Advisory RHSA-2014:1870

http://rhn.redhat.com/errata/RHSA-2014-1870.html

Patch:

Red Hat Security Advisory RHSA-2014:1893

https://rhn.redhat.com/errata/RHSA-2014-1893.html

CVE-2014-0211: Schwachstelle bei Speicher Reservierung in libxfont

Bei der Kalkulation des zu reservierenden Speichers für
XFS-Protokoll-Antworten kann es zu einem Integer-Überlauf kommen. Hierdurch
wird zu wenig Speicher reserviert und beim Schreiben der Daten über die
Grenze des reservierten Speichers hinaus geschrieben. Ein entfernter, nicht
authentifizierter Angreifer kann durch einen manipulierten Schriftart-Server
beliebigen Programmcode mit den Rechten des X-Servers ausführen.

CVE-2014-0210: Schwachstelle bei Längenüberprüfung in libxfont

Bei der Verarbeitung von XFS-Protokoll Antworten werden die Längen der
einzelnen Felder unzureichend geprüft. Damit kann über Speichergrenzen
hinaus auf den Speicher geschrieben werden. Ein entfernter, nicht
authentifizierter Angreifer kann durch einen manipulierten Schriftart-Server
beliebigen Programmcode mit den Rechten des X-Servers ausführen.

CVE-2014-0209: Speicherüberlauf Schwachstelle in libxfont

Es besteht eine Schwachstelle bei der Verarbeitung von Schriftart-Metadaten
beim Anlegen von neuen Schriftartverzeichnissen. Ein lokaler, einfach
authentifizierter Angreifer kann mit Hilfe großer Schriftart-Dateien (2-4
GB) einen Speicherüberlauf auslösen und damit seine Privilegien erweitern.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-0594/

Debian Security Advisory DSA-2927-1:
https://www.debian.org/security/2014/dsa-2927

Ubuntu Security Notice USN-2211-1:
http://www.ubuntu.com/usn/usn-2211-1/

Schwachstelle CVE-2014-0209 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0209

Schwachstelle CVE-2014-0210 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0210

Schwachstelle CVE-2014-0211 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0211

openSUSE Security Update: openSUSE-SU-2014:0711-1:
http://lists.opensuse.org/opensuse-updates/2014-05/msg00073.html

OpenBSD Security Advisory OpenBSD-ADV-007_sendmail:
http://www.openbsd.org/errata55.html

OpenBSD Security Advisory OpenBSD-ADV-011_sendmail:
http://www.openbsd.org/errata54.html

NetBSD Security Advisory NetBSD-SA2014-005:
http://ftp.NetBSD.org/pub/NetBSD/security/advisories/NetBSD-SA2014-005.txt.asc

SUSE Security Update: SUSE-SU-2014:0774-1:
https://www.suse.com/support/update/announcement/2014/suse-su-20140774-1.html

Fedora Security Update FEDORA-2014-8208:
https://admin.fedoraproject.org/updates/FEDORA-2014-8208/libXfont-1.4.8-1.fc20

Fedora Security Update FEDORA-2014-8223:
https://admin.fedoraproject.org/updates/FEDORA-2014-8223/libXfont-1.4.8-1.fc19

Red Hat Security Advisory RHSA-2014:1870:
http://rhn.redhat.com/errata/RHSA-2014-1870.html

Red Hat Security Advisory RHSA-2014:1893:
https://rhn.redhat.com/errata/RHSA-2014-1893.html

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 8 (19.11.2014):
Red Hat stellt Sicherheitsupdates bereit für die Red Hat Enterprise Linux
Distributionen Desktop 6 und 7, HPC Node 6 und 7, Server 6 und 7, Server
EUS 6.6.z, Workstation 6 und 7.

Version 7 (10.07.2014):
Für die Distributionen Fedora 19 und Fedora 20 wurden Sicherheitsupdates
bereitgestellt.
Version 6 (11.06.2014):
Für SUSE Linux Enterprise 11 SP3 stehen für Software Development Kit,
Server, Server für VMware und Desktop
Sicherheitsupdates bereit.
Version 5 (28.05.2014):
Für die betroffenen Branches NetBSD 6.1 – 6.1.4, NetBSD 6.0 – 6.0.5,
NetBSD 5.1 – 5.1.4 und NetBSD 5.2 – 5.2.2 werden Sicherheitsupdates zur
Verfügung gestellt.
Version 4 (26.05.2014):
Für die Distributionen OpenBSD 5.4 und OpenBSD 5.5 werden
Sicherheitsupdates zur Verfügung gestellt.
Version 3 (23.05.2014):
Für die Distributionen openSUSE 13.1 und openSUSE 12.3 werden
Sicherheitsupdates zur Verfügung gestellt.
Version 2 (14.05.2014):
Von Ubuntu werden Sicherheitsupdates für die Distributionen 14.04 LTS,
13.10, 12.10, 12.04 LTS und 10.04 LTS zur Verfügung gestellt.
Version 1 (14.05.2014):
Neues Advisory

Betroffene Software:

libXfont <= 1.4.7 Betroffene Plattformen: SuSE SUSE Linux Enterprise Software Development Kit 11 SP3 Enterprise Canonical Ubuntu Linux 10.04 Lts Canonical Ubuntu Linux 12.04 Lts Canonical Ubuntu Linux 12.10 Canonical Ubuntu Linux 13.10 Canonical Ubuntu Linux 14.04 Lts Debian Linux 6.0.9 Squeeze Debian Linux 7.5 Wheezy NetBSD >= 5.1
NetBSD <= 5.1.4 NetBSD >= 5.2
NetBSD <= 5.2.2 NetBSD >= 6.0
NetBSD <= 6.0.5 NetBSD >= 6.1
NetBSD <= 6.1.4 openSUSE 12.3 openSUSE 13.1 SUSE Linux Enterprise Desktop 11 SP3 SUSE Linux Enterprise Server 11 SP3 SUSE Linux Enterprise Server 11 SP3 VMware OpenBSD 5.4 OpenBSD 5.5 Red Hat Enterprise Linux Desktop 6 Red Hat Enterprise Linux Desktop 7 Red Hat Enterprise Linux HPC Node 6 Red Hat Enterprise Linux HPC Node 7 Red Hat Enterprise Linux Server 6 Red Hat Enterprise Linux Server 6.6.z EUS Red Hat Enterprise Linux Server 7 Red Hat Enterprise Linux Workstation 6 Red Hat Enterprise Linux Workstation 7 Red Hat Fedora 19 Red Hat Fedora 20 Es bestehen mehrere Schwachstellen in der Bibliothek libXfont. Ein entfernter, nicht authentifizierter Angreifer kann beliebigen Programmcode mit den Rechten des X-Servers ausführen. Ein lokaler, einfach authentifizierter Angreifer kann seine Privilegien erweitern. Patch: Debian Security Advisory DSA-2927-1 https://www.debian.org/security/2014/dsa-2927

Patch:

Ubuntu Security Notice USN-2211-1

http://www.ubuntu.com/usn/usn-2211-1/

Patch:

openSUSE Security Update: openSUSE-SU-2014:0711-1

http://lists.opensuse.org/opensuse-updates/2014-05/msg00073.html

Patch:

OpenBSD Security Advisory OpenBSD-ADV-007_sendmail

http://www.openbsd.org/errata55.html

Patch:

OpenBSD Security Advisory OpenBSD-ADV-011_sendmail

http://www.openbsd.org/errata54.html

Patch:

NetBSD Security Advisory NetBSD-SA2014-005

http://ftp.NetBSD.org/pub/NetBSD/security/advisories/NetBSD-SA2014-005.txt.asc

Patch:

SUSE Security Update: SUSE-SU-2014:0774-1

https://www.suse.com/support/update/announcement/2014/suse-su-20140774-1.html

Patch:

Fedora Security Update FEDORA-2014-8208

https://admin.fedoraproject.org/updates/FEDORA-2014-8208/libXfont-1.4.8-1.fc20

Patch:

Fedora Security Update FEDORA-2014-8223

https://admin.fedoraproject.org/updates/FEDORA-2014-8223/libXfont-1.4.8-1.fc19

Patch:

Red Hat Security Advisory RHSA-2014:1870

http://rhn.redhat.com/errata/RHSA-2014-1870.html

CVE-2014-0211: Schwachstelle bei Speicher Reservierung in libxfont

Bei der Kalkulation des zu reservierenden Speichers für
XFS-Protokoll-Antworten kann es zu einem Integer-Überlauf kommen. Hierdurch
wird zu wenig Speicher reserviert und beim Schreiben der Daten über die
Grenze des reservierten Speichers hinaus geschrieben. Ein entfernter, nicht
authentifizierter Angreifer kann durch einen manipulierten Schriftart-Server
beliebigen Programmcode mit den Rechten des X-Servers ausführen.

CVE-2014-0210: Schwachstelle bei Längenüberprüfung in libxfont

Bei der Verarbeitung von XFS-Protokoll Antworten werden die Längen der
einzelnen Felder unzureichend geprüft. Damit kann über Speichergrenzen
hinaus auf den Speicher geschrieben werden. Ein entfernter, nicht
authentifizierter Angreifer kann durch einen manipulierten Schriftart-Server
beliebigen Programmcode mit den Rechten des X-Servers ausführen.

CVE-2014-0209: Speicherüberlauf Schwachstelle in libxfont

Es besteht eine Schwachstelle bei der Verarbeitung von Schriftart-Metadaten
beim Anlegen von neuen Schriftartverzeichnissen. Ein lokaler, einfach
authentifizierter Angreifer kann mit Hilfe großer Schriftart-Dateien (2-4
GB) einen Speicherüberlauf auslösen und damit seine Privilegien erweitern.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-0594/

Debian Security Advisory DSA-2927-1:
https://www.debian.org/security/2014/dsa-2927

Ubuntu Security Notice USN-2211-1:
http://www.ubuntu.com/usn/usn-2211-1/

Schwachstelle CVE-2014-0209 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0209

Schwachstelle CVE-2014-0210 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0210

Schwachstelle CVE-2014-0211 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0211

openSUSE Security Update: openSUSE-SU-2014:0711-1:
http://lists.opensuse.org/opensuse-updates/2014-05/msg00073.html

OpenBSD Security Advisory OpenBSD-ADV-007_sendmail:
http://www.openbsd.org/errata55.html

OpenBSD Security Advisory OpenBSD-ADV-011_sendmail:
http://www.openbsd.org/errata54.html

NetBSD Security Advisory NetBSD-SA2014-005:
http://ftp.NetBSD.org/pub/NetBSD/security/advisories/NetBSD-SA2014-005.txt.asc

SUSE Security Update: SUSE-SU-2014:0774-1:
https://www.suse.com/support/update/announcement/2014/suse-su-20140774-1.html

Fedora Security Update FEDORA-2014-8208:
https://admin.fedoraproject.org/updates/FEDORA-2014-8208/libXfont-1.4.8-1.fc20

Fedora Security Update FEDORA-2014-8223:
https://admin.fedoraproject.org/updates/FEDORA-2014-8223/libXfont-1.4.8-1.fc19

Red Hat Security Advisory RHSA-2014:1870:
http://rhn.redhat.com/errata/RHSA-2014-1870.html

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.