Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 3 (13.05.2015):
SUSE stellt für die SUSE Linux Enterprise 12 Produkte Workstation
Extension, Software Development Kit, Server und Desktop Sicherheitsupdates
bereit.
Version 2 (11.05.2015):
SUSE stellt für die Produkte SUSE Linux Enterprise Desktop 11 SP3, Server
11 SP3, Server 11 SP3 for VMware und Software Development Kit 11 SP3
Sicherheitsupdates bereit.
Version 1 (31.03.2015):
Neues Advisory

Betroffene Software:

libgd

Betroffene Plattformen:

SUSE Linux Enterprise Workstation Extension 12
SUSE Software Development Kit 11 SP3 Enterprise
SUSE Software Development Kit 12 Enterprise
openSUSE 13.1
openSUSE 13.2
SUSE Linux Enterprise Desktop 11 SP3
SUSE Linux Enterprise Desktop 12
SUSE Linux Enterprise Server 11 SP3
SUSE Linux Enterprise Server 11 SP3 VMware
SUSE Linux Enterprise Server 12

Eine Schwachstelle in libgd ermöglicht einem entfernten, nicht
authentifizierten Angreifer, Denial-of-Service-Angriffe durchzuführen.
Der Hersteller bietet für openSUSE 13.1 und 13.2 Patches für die jeweils
eingesetzten libgd Versionen an.

Patch:

openSUSE Security Update openSUSE-SU-2015:0637-1

http://lists.opensuse.org/opensuse-updates/2015-03/msg00097.html

Patch:

SUSE Security Update SUSE-SU-2015:0835-1

https://www.suse.com/support/update/announcement/2015/suse-su-20150835-1.html

Patch:

SUSE Security Update SUSE-SU-2015:0866-1

https://www.suse.com/support/update/announcement/2015/suse-su-20150866-1.html

CVE-2014-9709: Denial-of-Service-Schwachstelle in GD Graphics Library libgd

Durch eine Schwachstelle in der ‘gdImageCreateFromGif’-Funktion von GD
Graphics Library libgd werden GIF-Dateien nicht korrekt bearbeitet. Mit
Hilfe der ‘GetCode_ function’ in gd_gif_in.c und einer präparierten
GIF-Datei kann ein entfernter, nicht angemeldeter Angreifer ein Lesen über
Speichergrenzen hinweg (“buffer over-read”) provozieren. Dieses ermöglicht
ihm, einen Denial-of-Service-Zustand herbeizuführen oder den Systemspeicher
auszulesen. libgd wird in den PHP Versionen vor 5.5.21 und vor 5.6.5
eingesetzt.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-0442/

openSUSE Security Update openSUSE-SU-2015:0637-1:
http://lists.opensuse.org/opensuse-updates/2015-03/msg00097.html

Schwachstelle CVE-2014-9709 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-9709

SUSE Security Update SUSE-SU-2015:0835-1:
https://www.suse.com/support/update/announcement/2015/suse-su-20150835-1.html

SUSE Security Update SUSE-SU-2015:0866-1:
https://www.suse.com/support/update/announcement/2015/suse-su-20150866-1.html

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 2 (11.05.2015):
SUSE stellt für die Produkte SUSE Linux Enterprise Desktop 11 SP3, Server
11 SP3, Server 11 SP3 for VMware und Software Development Kit 11 SP3
Sicherheitsupdates bereit.
Version 1 (31.03.2015):
Neues Advisory

Betroffene Software:

libgd

Betroffene Plattformen:

SUSE Software Development Kit 11 SP3 Enterprise
openSUSE 13.1
openSUSE 13.2
SUSE Linux Enterprise Desktop 11 SP3
SUSE Linux Enterprise Server 11 SP3
SUSE Linux Enterprise Server 11 SP3 VMware

Eine Schwachstelle in libgd ermöglicht einem entfernten, nicht
authentifizierten Angreifer, Denial-of-Service-Angriffe durchzuführen.
Der Hersteller bietet für openSUSE 13.1 und 13.2 Patches für die jeweils
eingesetzten libgd Versionen an.

Patch:

openSUSE Security Update openSUSE-SU-2015:0637-1

http://lists.opensuse.org/opensuse-updates/2015-03/msg00097.html

Patch:

SUSE Security Update SUSE-SU-2015:0835-1

https://www.suse.com/support/update/announcement/2015/suse-su-20150835-1.html

CVE-2014-9709: Denial-of-Service-Schwachstelle in GD Graphics Library libgd

Durch eine Schwachstelle in der ‘gdImageCreateFromGif’-Funktion von GD
Graphics Library libgd werden GIF-Dateien nicht korrekt bearbeitet. Mit
Hilfe der ‘GetCode_ function’ in gd_gif_in.c und einer präparierten
GIF-Datei kann ein entfernter, nicht angemeldeter Angreifer ein Lesen über
Speichergrenzen hinweg (“buffer over-read”) provozieren. Dieses ermöglicht
ihm, einen Denial-of-Service-Zustand herbeizuführen oder den Systemspeicher
auszulesen. libgd wird in den PHP Versionen vor 5.5.21 und vor 5.6.5
eingesetzt.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-0442/

openSUSE Security Update openSUSE-SU-2015:0637-1:
http://lists.opensuse.org/opensuse-updates/2015-03/msg00097.html

Schwachstelle CVE-2014-9709 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-9709

SUSE Security Update SUSE-SU-2015:0835-1:
https://www.suse.com/support/update/announcement/2015/suse-su-20150835-1.html

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.