Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Historie:
Version 3 (22.05.2015):
Für Fedora 21 steht ein weiteres Sicherheitsupdate in Form des Paketes
libtiff-4.0.3-20.fc21 im Status ‘testing’ bereit.
Version 2 (21.05.2015):
Für die Distribution Fedora 22 steht ein weiteres Sicherheitsupdate in
Form des Paketes libtiff-4.0.3-20.fc22 im Status ‘testing’ zur Verfügung.
Version 1 (27.04.2015):
Neues Advisory
Betroffene Software:
Bibliothek LibTiff <= 4.0.3 Betroffene Plattformen: Red Hat Fedora 21 Red Hat Fedora 22 Extra Packages for Red Hat Enterprise Linux 7 Durch Ausnutzen dieser Schwachstellen kann ein entfernter, nicht authentisierter Angreifer Information ausspähen oder Denial-of-Service (DoS)-Angriffe durchführen. Für Fedora 21 und 22 sowie Fedora EPEL 7 werden Sicherheitsupdates in Form der Pakete mingw-libtiff-4.0.3-6.fc21, mingw-libtiff-4.0.3-6.fc22, bzw. mingw-libtiff-4.0.3-6.el7 (jeweils im Status 'testing') zur Verfügung gestellt. Patch: Fedora Security Update FEDORA-2015-6903 https://admin.fedoraproject.org/updates/FEDORA-2015-6903/mingw-libtiff-4.0.3-6.fc21
Patch:
Fedora Security Update FEDORA-2015-6907
https://admin.fedoraproject.org/updates/FEDORA-2015-6907/mingw-libtiff-4.0.3-6.fc22
Patch:
Fedora Security Update FEDORA-EPEL-2015-5973
https://admin.fedoraproject.org/updates/FEDORA-EPEL-2015-5973/mingw-libtiff-4.0.3-6.el7
Patch:
Fedora Security Update FEDORA-2015-8620
https://admin.fedoraproject.org/updates/FEDORA-2015-8620/libtiff-4.0.3-20.fc22
Patch:
Fedora Security Update FEDORA-2015-8673
https://admin.fedoraproject.org/updates/FEDORA-2015-8673/libtiff-4.0.3-20.fc21
CVE-2015-1547: Schwachstelle in NeXTDecode ermöglich
Denial-of-Service-Angriff
Eine Schwachstelle in NeXTDecode führt dazu, dass nicht initialisierter
Speicher gelesen wird. Ein entfernter, nicht authentifizierter Angreifer
kann Informationen ausspähen oder einen Denial-of-Service-Angriff
durchführen.
CVE-2014-9655: Schwachstelle in LibTiff ermöglicht u.a.
Denial-of-Service-Angriff
Eine Schwachstelle in LibTiff in den Dateien libtiff/tif_getimage.c und
libtiff/tif_next.c führt dazu, dass nicht initialisierter Speicher gelesen
wird. Ein entfernter, nicht authentifizierter Angreifer kann Informationen
ausspähen oder einen Denial-of-Service-Angriff durchführen.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-0610/
Schwachstelle CVE-2014-9655 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-9655
Schwachstelle CVE-2015-1547 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-1547
Fedora Security Update FEDORA-2015-6903:
https://admin.fedoraproject.org/updates/FEDORA-2015-6903/mingw-libtiff-4.0.3-6.fc21
Fedora Security Update FEDORA-2015-6907:
https://admin.fedoraproject.org/updates/FEDORA-2015-6907/mingw-libtiff-4.0.3-6.fc22
Fedora Security Update FEDORA-EPEL-2015-5973:
https://admin.fedoraproject.org/updates/FEDORA-EPEL-2015-5973/mingw-libtiff-4.0.3-6.el7
Fedora Security Update FEDORA-2015-8620:
https://admin.fedoraproject.org/updates/FEDORA-2015-8620/libtiff-4.0.3-20.fc22
Fedora Security Update FEDORA-2015-8673:
https://admin.fedoraproject.org/updates/FEDORA-2015-8673/libtiff-4.0.3-20.fc21
(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.
