UPDATE: DFN-CERT-2015-0442 GD Graphics Library libgd: Eine Schwachstelle ermöglicht einen Denial-of-Service-Angriff [Linux][SuSE][Netzwerk]

UPDATE: DFN-CERT-2015-0442 GD Graphics Library libgd: Eine Schwachstelle ermöglicht einen Denial-of-Service-Angriff [Linux][SuSE][Netzwerk]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 4 (17.08.2015):
F5 Networks teilt mit, welche seiner Produkte und Versionen von dieser
Schwachstelle betroffen sind. Unter anderem enthalten die BIG-IP Protocol
Security Module Versionen 11.0.0 – 11.4.1 und 10.1.0 – 10.2.4 den
verwundbaren PHP-Code, F5 weist aber daraufhin, dass die Schwachstelle nur
mit lokalem Shell-Zugriff ausgenutzt werden kann. Es stehen keine
Sicherheitsupdates zur Verfügung.
Version 3 (13.05.2015):
SUSE stellt für die SUSE Linux Enterprise 12 Produkte Workstation
Extension, Software Development Kit, Server und Desktop Sicherheitsupdates
bereit.
Version 2 (11.05.2015):
SUSE stellt für die Produkte SUSE Linux Enterprise Desktop 11 SP3, Server
11 SP3, Server 11 SP3 for VMware und Software Development Kit 11 SP3
Sicherheitsupdates bereit.
Version 1 (31.03.2015):
Neues Advisory

Betroffene Software:

F5 Networks BIG-IP Protocol Security Module (PSM) >= 10.1.0
F5 Networks BIG-IP Protocol Security Module (PSM) <= 10.2.4 F5 Networks BIG-IP Protocol Security Module (PSM) >= 11.0.0
F5 Networks BIG-IP Protocol Security Module (PSM) <= 11.4.1 libgd Betroffene Plattformen: SUSE Linux Enterprise Workstation Extension 12 SUSE Linux Enterprise Software Development Kit 11 SP3 SUSE Linux Enterprise Software Development Kit 12 F5 Networks BIG-IP Systeme openSUSE 13.1 openSUSE 13.2 SUSE Linux Enterprise Desktop 11 SP3 SUSE Linux Enterprise Desktop 12 SUSE Linux Enterprise Server 11 SP3 SUSE Linux Enterprise Server 11 SP3 VMware SUSE Linux Enterprise Server 12 Eine Schwachstelle in libgd ermöglicht einem entfernten, nicht authentifizierten Angreifer, Denial-of-Service-Angriffe durchzuführen. Der Hersteller bietet für openSUSE 13.1 und 13.2 Patches für die jeweils eingesetzten libgd Versionen an. Patch: openSUSE Security Update openSUSE-SU-2015:0637-1 http://lists.opensuse.org/opensuse-updates/2015-03/msg00097.html

Patch:

SUSE Security Update SUSE-SU-2015:0835-1

https://www.suse.com/support/update/announcement/2015/suse-su-20150835-1.html

Patch:

SUSE Security Update SUSE-SU-2015:0866-1

https://www.suse.com/support/update/announcement/2015/suse-su-20150866-1.html

CVE-2014-9709: Denial-of-Service-Schwachstelle in GD Graphics Library libgd

Durch eine Schwachstelle in der ‘gdImageCreateFromGif’-Funktion von GD
Graphics Library libgd werden GIF-Dateien nicht korrekt bearbeitet. Mit
Hilfe der ‘GetCode_ function’ in gd_gif_in.c und einer präparierten
GIF-Datei kann ein entfernter, nicht angemeldeter Angreifer ein Lesen über
Speichergrenzen hinweg provozieren. Dieses ermöglicht ihm, einen
Denial-of-Service-Zustand herbeizuführen oder den Systemspeicher auszulesen.
libgd wird in den PHP Versionen vor 5.5.21 und vor 5.6.5 eingesetzt.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-0442/

openSUSE Security Update openSUSE-SU-2015:0637-1:
http://lists.opensuse.org/opensuse-updates/2015-03/msg00097.html

Schwachstelle CVE-2014-9709 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-9709

SUSE Security Update SUSE-SU-2015:0835-1:
https://www.suse.com/support/update/announcement/2015/suse-su-20150835-1.html

SUSE Security Update SUSE-SU-2015:0866-1:
https://www.suse.com/support/update/announcement/2015/suse-su-20150866-1.html

F5 Security Advisory sol17127:
http://support.f5.com/kb/en-us/solutions/public/17000/100/sol17127.html?ref=rss

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben