UPDATE: DFN-CERT-2014-1620 Graphviz: Eine Schwachstelle ermöglicht das Ausführen beliebigen Programmcodes [Linux][Debian]

UPDATE: DFN-CERT-2014-1620 Graphviz: Eine Schwachstelle ermöglicht das Ausführen beliebigen Programmcodes [Linux][Debian]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 2 (12.12.2014):
Für die Debian Distribution Wheezy steht ein Sicherheitsupdate bereit, für
Debian Jessie soll es in Kürze verfügbar sein.
Version 1 (10.12.2014):
Neues Advisory

Betroffene Software:

Graphviz <= 2.38.0 Betroffene Plattformen: Canonical Ubuntu Linux 10.04 Lts Canonical Ubuntu Linux 12.04 Lts Canonical Ubuntu Linux 14.04 Lts Canonical Ubuntu Linux 14.10 Debian Linux 7.7 Wheezy Eine Schwachstelle in Graphviz ermöglicht einem entfernten, nicht authentifizierten Angreifer einen Denial-of-Service-Angriff durchzuführen oder beliebigen Programmcode auszuführen. Für Ubuntu 14.10 wird ein neues Paket von graphviz 2.38.0, für Ubuntu 14.04 LTS von graphviz 2.36.0, für Ubuntu 12.04 LTS von graphviz 2.26.3 und für Ubuntu 10.04 LTS von graphviz 2.20.2 bereitgestellt. Patch: Ubuntu Security Notice USN-2435-1 http://www.ubuntu.com/usn/usn-2435-1/

Patch:

Debian Security Advisory DSA-3098-1

https://www.debian.org/security/2014/dsa-3098

CVE-2014-9157: Schwachstelle in Graphviz ermöglicht das Ausführen von
beliebigem Programmcode

Eine Schwachstelle in Graphviz im Zusammenhang mit der “yyerror”-Funktion in
der Datei lib/cgraph/scan.l führt dazu, dass es über nicht näher
beschriebene Angriffsvektoren, die im Zusammenhang mit
Formatierungsparametern bei der Ausgabe einer Fehlermeldung stehen, beim
Öffnen einer präparierten Datei zu einem Anwendungsabsturz oder der
Ausführung beliebigen Programmcodes kommen kann. Ein entfernter, nicht
authentifizierter Angreifer kann einen Denial-of-Service-Angriff durchführen
oder beliebigen Programmcode ausführen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-1620/

Schwachstelle CVE-2014-9157 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-9157

Ubuntu Security Notice USN-2435-1:
http://www.ubuntu.com/usn/usn-2435-1/

Debian Security Advisory DSA-3098-1:
https://www.debian.org/security/2014/dsa-3098

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben