Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Historie:
Version 4 (03.03.2015):
Für Ubuntu 14.10, 14.04 LTS und 12.04 LTS werden Sicherheitsupdates auf
Thunderbird 31.5.0 bereitgestellt.
Version 3 (26.02.2015):
Für die stabile Distribution Debian Wheezy (7.7) wird ein
Sicherheitsupdate auf Iceweasel 31.5.0 bereitgestellt.
Version 2 (25.02.2015):
Red Hat stellt für die Distributionen RHEL Optional Productivity
Applications (v. 5 server), Red Hat Enterprise Linux Desktop (v. 5
client), Desktop (v. 6), Server (v. 6), Server EUS (v. 6.6.z) und
Workstation (v. 6) ein Sicherheitsupdate auf Thunderbird 31.5 zur
Verfügung.
Version 1 (25.02.2015):
Neues Advisory
Betroffene Software:
Debian Iceweasel < 31.5.0 ESR Mozilla Firefox < 36 Mozilla Firefox ESR < 31.5 Mozilla Thunderbird < 31.5 Betroffene Plattformen: Red Hat Optional Productivity Applications 5 Server Canonical Ubuntu Linux <= 12.04 Lts Canonical Ubuntu Linux <= 14.04 Lts Canonical Ubuntu Linux <= 14.10 Debian Linux 7.7 Wheezy Red Hat Enterprise Linux Desktop 5 Red Hat Enterprise Linux Desktop 6 Red Hat Enterprise Linux Desktop 7 Red Hat Enterprise Linux HPC Node 6 Red Hat Enterprise Linux HPC Node 7 Red Hat Enterprise Linux Server 5 Red Hat Enterprise Linux Server 6 Red Hat Enterprise Linux Server 6.6.z EUS Red Hat Enterprise Linux Server 7 Red Hat Enterprise Linux Workstation 6 Red Hat Enterprise Linux Workstation 7 Mehrere Schwachstellen in Mozilla Firefox ermöglichen einem entfernten, nicht authentifizierten Angreifer Informationen auszuspähen oder beliebigen Programmcode auszuführen. Patch: Mozilla Foundation Security Advisory MFSA2015-11 https://www.mozilla.org/en-US/security/advisories/mfsa2015-11/
Patch:
Mozilla Foundation Security Advisory MFSA2015-16
https://www.mozilla.org/en-US/security/advisories/mfsa2015-16/
Patch:
Mozilla Foundation Security Advisory MFSA2015-19
https://www.mozilla.org/en-US/security/advisories/mfsa2015-19/
Patch:
Mozilla Foundation Security Advisory MFSA2015-24
https://www.mozilla.org/en-US/security/advisories/mfsa2015-24/
Patch:
Red Hat Security Advisory RHSA-2015:0265
https://rhn.redhat.com/errata/RHSA-2015-0265.html
Patch:
Red Hat Security Advisory RHSA-2015:0266
http://rhn.redhat.com/errata/RHSA-2015-0266.html
Patch:
Debian Security Advisory DSA-3174-1
https://www.debian.org/security/2015/dsa-3174
Patch:
Ubuntu Security Notice USN-2506-1
http://www.ubuntu.com/usn/usn-2506-1/
CVE-2015-0836: Schwachstelle in Browser Engine ermöglicht das Ausführen
beliebigen Programmcodes
Nicht näher beschriebene Speicher-Korrumpierungen ermöglichen, in Verbindung
mit Skripten, einem entfernten, nicht authentisierten Angreifer das
Ausführen beliebigen Programmcodes.
CVE-2015-0831: Schwachstelle in IndexDB ermöglicht das Ausführen beliebigen
Programmcodes
Eine Benutzen-Nach-Freigabe-Schwachstelle (use-after-free) in IndexDB führt,
durch eine fehlerhafte Verarbeitung von präparierten Webseiten, zu einer
potentiell ausnutzbaren Heap-Speicherkorruption. Ein entfernter, nicht
authentifizierter Angreifer kann beliebigen Programmcode aus- oder einen
Denial-of-Service-Angriff durchführen.
CVE-2015-0827: Schwachstelle in SVG-Grafik ermöglicht das Ausspähen von
Informationen
Eine Schwachstelle bei der Darstellung von SVG-Grafiken führt zu einem Lesen
und Schreiben außerhalb der Speichergrenzen (“out-of-bounds read” und
“out-of-bounds write”). Ein entfernter, nicht authentifizierter Angreifer
kann einen Denial-of-Service-Angriff durchführen oder Zugriff auf
Informationen erlangen.
CVE-2015-0822: Schwachstelle in Autovervollständigung ermöglicht das
Ausspähen von Informationen
Eine Schwachstelle in der Autovervollständigungsfunktion ermöglicht es
Dateien, die vom Benutzer gelesen werden können und deren Pfad bekannt ist,
auf einen Server hochzuladen. Dazu wird ein Formular manipuliert, durch das
der Inhalt der Datei hochgeladen wird, ohne dass der Benutzer dies sieht.
Der Inhalt wird durch das Document Object Model (DOM) verfügbar gemacht. Ein
entfernter, nicht authentifizierter Angreifer kann Informationen ausspähen.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-0247/
Mozilla Foundation Security Advisory MFSA2015-11:
https://www.mozilla.org/en-US/security/advisories/mfsa2015-11/
Mozilla Foundation Security Advisory MFSA2015-16:
https://www.mozilla.org/en-US/security/advisories/mfsa2015-16/
Mozilla Foundation Security Advisory MFSA2015-19:
https://www.mozilla.org/en-US/security/advisories/mfsa2015-19/
Mozilla Foundation Security Advisory MFSA2015-24:
https://www.mozilla.org/en-US/security/advisories/mfsa2015-24/
Red Hat Security Advisory RHSA-2015:0265:
https://rhn.redhat.com/errata/RHSA-2015-0265.html
Red Hat Security Advisory RHSA-2015:0266:
http://rhn.redhat.com/errata/RHSA-2015-0266.html
Schwachstelle CVE-2015-0822 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0822
Schwachstelle CVE-2015-0827 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0827
Schwachstelle CVE-2015-0831 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0831
Schwachstelle CVE-2015-0836 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0836
Debian Security Advisory DSA-3174-1:
https://www.debian.org/security/2015/dsa-3174
Ubuntu Security Notice USN-2506-1:
http://www.ubuntu.com/usn/usn-2506-1/
(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.
