UPDATE: DFN-CERT-2015-0535 Bibliothek libx11: Eine Schwachstelle ermöglicht u.a. die Ausführung beliebigen Programmcodes [Linux][Debian][SuSE]

UPDATE: DFN-CERT-2015-0535 Bibliothek libx11: Eine Schwachstelle ermöglicht u.a. die Ausführung beliebigen Programmcodes [Linux][Debian][SuSE]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 2 (03.08.2015):
Für die SUSE Linux Enterprise Varianten Software Development Kit 11-SP4,
Software Development Kit 11-SP3, Server for VMWare 11-SP3, Server 11-SP4,
Server 11-SP3, Server 11-SP2-LTSS, Server 11-SP1-LTSS, Desktop 11-SP4 und
Desktop 11-SP3 werden Sicherheitsupdates bereitgestellt.
Version 1 (14.04.2015):
Neues Advisory

Betroffene Software:

libx11

Betroffene Plattformen:

SUSE Linux Enterprise Software Development Kit 11 SP3
SUSE Linux Enterprise Software Development Kit 11 SP4
Canonical Ubuntu Linux 12.04 Lts
Canonical Ubuntu Linux 14.04 Lts
Canonical Ubuntu Linux 14.10
Debian Linux 7.8 Wheezy
Debian Linux 8.0 Jessie
SUSE Linux Enterprise Desktop 11 SP3
SUSE Linux Enterprise Desktop 11 SP4
SUSE Linux Enterprise Server 11 SP1 LTSS
SUSE Linux Enterprise Server 11 SP2 LTSS
SUSE Linux Enterprise Server 11 SP3
SUSE Linux Enterprise Server 11 SP3 VMware
SUSE Linux Enterprise Server 11 SP4

Ein entfernter, nicht authentisierter Angreifer kann die Schwachstelle
ausnutzen, um die Anwendung zum Absturz zu bringen oder beliebigen
Programmcode zur Ausführung zu bringen.

Canonical stellt für die Distributionen Ubuntu 14.10, Ubuntu 14.04 LTS und
Ubuntu 12.04 LTS Sicherheitsupdates für libx11 und libxrender bereit. Für
Debian Wheezy und Debian Jessie stehen derzeit ebenfalls für libx11
Sicherheitsupdates bereit. Debian kündigt aber die Rekompilierung
verschiedener anderer Xorg-Pakete, u.a. von libxrender nach der
Veröffentlichung dieses Updates an.

Patch:

Debian Security Advisory DSA-3224-1

https://www.debian.org/security/2015/dsa-3224

Patch:

Ubuntu Security Notice USN-2568-1

http://www.ubuntu.com/usn/usn-2568-1/

Patch:

SUSE Security Update SUSE-SU-2015:1334-1

https://www.suse.com/support/update/announcement/2015/suse-su-20151334-1.html

CVE-2013-7439: Pufferüberlauf in libX11 ermöglicht Codeausführung

Die Bibliothek libX11 behandelt Speicher im ‘MakeBigReq’-Makro fehlerhaft,
wodurch ein Pufferüberlauf ausgelöst werden kann. Ein entfernter, nicht
authentisierter Angreifer kann die Schwachstelle ausnutzen, um die Anwendung
zum Absturz zu bringen oder beliebigen Programmcode zur Ausführung zu
bringen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-0535/

Debian Security Advisory DSA-3224-1:
https://www.debian.org/security/2015/dsa-3224

Ubuntu Security Notice USN-2568-1:
http://www.ubuntu.com/usn/usn-2568-1/

Schwachstelle CVE-2013-7439 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-7439

SUSE Security Update SUSE-SU-2015:1334-1:
https://www.suse.com/support/update/announcement/2015/suse-su-20151334-1.html

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben