UPDATE: DFN-CERT-2014-1146 Debian Iceweasel und Icedove, Mozilla Firefox und Thunderbird: Zwei Schwachstellen ermöglichen u.a. das Ausführen beliebigen Programmcodes [Linux][Debian][RedHat][SuSE]

UPDATE: DFN-CERT-2014-1146 Debian Iceweasel und Icedove, Mozilla Firefox und Thunderbird: Zwei Schwachstellen ermöglichen u.a. das Ausführen beliebigen Programmcodes [Linux][Debian][RedHat][SuSE]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 6 (18.09.2014):
Für die Distribution Debian Wheezy steht ein Sicherheitsupdate für Icedove
zur Verfügung.
Version 5 (15.09.2014):
Der Hersteller hat Firefox Sicherheitsupdates für die Distribution SUSE
Linux Enterprise Server 11 SP1 LTSS veröffentlicht.
Version 4 (12.09.2014):
Der Hersteller hat Firefox Sicherheitsupdates für die Distribution SUSE
Linux Enterprise Server 11 SP2 LTSS, Server 10 SP4 LTSS und Server 10 SP3
LTSS veröffentlicht.
Version 3 (10.09.2014):
Der Hersteller hat Firefox Sicherheitsupdates für die Distributionen SUSE
Linux Enterprise Software Development Kit 11 SP3, Server 11 SP3, Server 11
SP3 für VMware und Desktop 11 SP3 veröffentlicht.
Version 2 (04.09.2014):
Red Hat stellt für verschiedene Red Hat Enterprise Linux 5, 6 und 7
Produkte Sicherheitsupdates für Mozilla Firefox und Thunderbird zur
Verfügung.
Version 1 (03.09.2014):
Neues Advisory

Betroffene Software:

Debian Icedove < 24.8.0 Debian Iceweasel < 24.8.0esr-1 Mozilla Firefox ESR < 24.8 Mozilla Thunderbird < 24.8 Betroffene Plattformen: SUSE Software Development Kit 11 SP3 Enterprise Red Hat Optional Productivity Applications 5 Server Debian Linux 7.6 Wheezy SUSE Linux Enterprise Desktop 11 SP3 SUSE Linux Enterprise Server 10 SP3 LTSS SUSE Linux Enterprise Server 10 SP4 LTSS SUSE Linux Enterprise Server 11 SP1 LTSS SUSE Linux Enterprise Server 11 SP2 LTSS SUSE Linux Enterprise Server 11 SP3 SUSE Linux Enterprise Server 11 SP3 VMware Red Hat Enterprise Linux Desktop 5 Client Red Hat Enterprise Linux Desktop 6 Red Hat Enterprise Linux Desktop 7 Red Hat Enterprise Linux HPC Node 6 Red Hat Enterprise Linux HPC Node 7 Red Hat Enterprise Linux Server 5 Red Hat Enterprise Linux Server 6 Red Hat Enterprise Linux Server 6.5 AUS Red Hat Enterprise Linux Server 6.5.z EUS Red Hat Enterprise Linux Server 7 Red Hat Enterprise Linux Workstation 6 Red Hat Enterprise Linux Workstation 7 Durch zwei Schwachstellen in Iceweasel, Firefox und Thunderbird kann ein entfernter, nicht authentifizierter Angreifer beliebigen Programmcode ausführen. Patch: Debian Security Advisory DSA-3018-1 https://www.debian.org/security/2014/dsa-3018

Patch:

Red Hat Security Advisory RHSA-2014:1144

http://rhn.redhat.com/errata/RHSA-2014-1144.html

Patch:

Red Hat Security Advisory RHSA-2014:1145

http://rhn.redhat.com/errata/RHSA-2014-1145.html

Patch:

SUSE Security Update: SUSE-SU-2014:1107-1

http://lists.opensuse.org/opensuse-security-announce/2014-09/msg00005.html

Patch:

SUSE Security Update: SUSE-SU-2014:1112-1

http://lists.opensuse.org/opensuse-security-announce/2014-09/msg00007.html

Patch:

SUSE Security Update: SUSE-SU-2014:1120-2

http://lists.opensuse.org/opensuse-security-announce/2014-09/msg00014.html

Patch:

SUSE Security Update: SUSE-SU-2014:1120-1

http://lists.opensuse.org/opensuse-security-announce/2014-09/msg00012.html

Patch:

SUSE Security Update: SUSE-SU-2014:1112-2

http://lists.opensuse.org/opensuse-security-announce/2014-09/msg00015.html

Patch:

Debian Security Advisory DSA-3028-1

https://www.debian.org/security/2014/dsa-3028

CVE-2014-1562: Schwachstelle ermöglicht die Ausführung von beliebigen
Programmcode mit den Rechten des Benutzers

Es besteht eine Schwachstelle hinsichtlich der Speichersicherheit in der,
von verschiedenen Mozilla-Produkten genutzten, Browser Engine. Ein
entfernter, nicht authentisierter Angreifer kann, unter Verwendung einer
speziell präparierten Webseite, die Schwachstelle dazu ausnutzen, um einen
Speicherfehler hervorzurufen und in der Folge beliebigen Programmcode mit
den Rechten des Nutzers auszuführen.

CVE-2014-1567: Schwachstelle in Firefox und Thunderbird ermöglicht das
Ausführen beliebigen Programmcodes

Es existiert eine Use-after-free-Schwachstelle beim Text-Layout in Mozilla
Firefox und Thunderbird bei der Interaktion mit der Einstellung der
Textrichtung. Ein entfernter, nicht authentifizierter Angreifer kann
beliebigen Programmcode zur Ausführung bringen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-1146/

Debian Security Advisory DSA-3018-1:
https://www.debian.org/security/2014/dsa-3018

Schwachstelle CVE-2014-1562 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-1562

Schwachstelle CVE-2014-1567 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-1567

Red Hat Security Advisory RHSA-2014:1144:
http://rhn.redhat.com/errata/RHSA-2014-1144.html

Red Hat Security Advisory RHSA-2014:1145:
http://rhn.redhat.com/errata/RHSA-2014-1145.html

SUSE Security Update: SUSE-SU-2014:1107-1:
http://lists.opensuse.org/opensuse-security-announce/2014-09/msg00005.html

SUSE Security Update: SUSE-SU-2014:1112-1:
http://lists.opensuse.org/opensuse-security-announce/2014-09/msg00007.html

SUSE Security Update: SUSE-SU-2014:1120-2:
http://lists.opensuse.org/opensuse-security-announce/2014-09/msg00014.html

SUSE Security Update: SUSE-SU-2014:1120-1:
http://lists.opensuse.org/opensuse-security-announce/2014-09/msg00012.html

SUSE Security Update: SUSE-SU-2014:1112-2:
http://lists.opensuse.org/opensuse-security-announce/2014-09/msg00015.html

Debian Security Advisory DSA-3028-1:
https://www.debian.org/security/2014/dsa-3028

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben