UPDATE: DFN-CERT-2014-0594 libXfont: Mehrere Schwachstellen ermöglichen die Ausführung beliebigen Programmcodes [Linux][Debian][SuSE]

UPDATE: DFN-CERT-2014-0594 libXfont: Mehrere Schwachstellen ermöglichen die Ausführung beliebigen Programmcodes [Linux][Debian][SuSE]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 3 (23.05.2014):
Für die Distributionen openSUSE 13.1 und openSUSE 12.3 werden
Sicherheitsupdates zur Verfügung gestellt.
Version 2 (14.05.2014):
Von Ubuntu werden Sicherheitsupdates für die Distributionen 14.04 LTS,
13.10, 12.10, 12.04 LTS und 10.04 LTS zur Verfügung gestellt.
Version 1 (14.05.2014):
Neues Advisory

Betroffene Software:

libXfont <= 1.4.7 Betroffene Plattformen: Canonical Ubuntu Linux 10.04 Lts Canonical Ubuntu Linux 12.04 Lts Canonical Ubuntu Linux 12.10 Canonical Ubuntu Linux 13.10 Canonical Ubuntu Linux 14.04 Lts Debian Linux 6.0.9 Squeeze Debian Linux 7.5 Wheezy openSUSE 12.3 openSUSE 13.1 Es bestehen mehrere Schwachstellen in der Bibliothek libXfont. Ein entfernter, nicht authentifizierter Angreifer kann beliebigen Programmcode mit den Rechten des X-Servers ausführen. Ein lokaler, einfach authentifizierter Angreifer kann seine Privilegien erweitern. Patch: Debian Security Advisory DSA-2927-1 https://www.debian.org/security/2014/dsa-2927

Patch:

Ubuntu Security Notice USN-2211-1

http://www.ubuntu.com/usn/usn-2211-1/

Patch:

openSUSE Security Update: openSUSE-SU-2014:0711-1

http://lists.opensuse.org/opensuse-updates/2014-05/msg00073.html

CVE-2014-0211: Schwachstelle bei Speicher Reservierung in libxfont

Bei der Kalkulation des zu reservierenden Speichers für
XFS-Protokoll-Antworten kann es zu einem Integer-Überlauf kommen. Hierdurch
wird zu wenig Speicher reserviert und beim Schreiben der Daten über die
Grenze des reservierten Speichers hinaus geschrieben. Ein entfernter, nicht
authentifizierter Angreifer kann durch einen manipulierten Schriftart-Server
beliebigen Programmcode mit den Rechten des X-Servers ausführen.

CVE-2014-0210: Schwachstelle bei Längenüberprüfung in libxfont

Bei der Verarbeitung von XFS-Protokoll Antworten werden die Längen der
einzelnen Felder unzureichend geprüft. Damit kann über Speichergrenzen
hinaus auf den Speicher geschrieben werden. Ein entfernter, nicht
authentifizierter Angreifer kann durch einen manipulierten Schriftart-Server
beliebigen Programmcode mit den Rechten des X-Servers ausführen.

CVE-2014-0209: Speicherüberlauf Schwachstelle in libxfont

Es besteht eine Schwachstelle bei der Verarbeitung von Schriftart-Metadaten
beim Anlegen von neuen Schriftartverzeichnissen. Ein lokaler, einfach
authentifizierter Angreifer kann mit Hilfe großer Schriftart-Dateien (2-4
GB) einen Speicherüberlauf auslösen und damit seine Privilegien erweitern.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-0594/

Debian Security Advisory DSA-2927-1:
https://www.debian.org/security/2014/dsa-2927

Ubuntu Security Notice USN-2211-1:
http://www.ubuntu.com/usn/usn-2211-1/

Schwachstelle CVE-2014-0209 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0209

Schwachstelle CVE-2014-0210 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0210

Schwachstelle CVE-2014-0211 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0211

openSUSE Security Update: openSUSE-SU-2014:0711-1:
http://lists.opensuse.org/opensuse-updates/2014-05/msg00073.html

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.

© COMPUTEC MEDIA GmbH
Nach oben