UPDATE: DFN-CERT-2015-1293 GdkPixbuf: Eine Schwachstelle ermöglicht das Ausführen beliebigen Programmcodes mit Benutzerrechten [Linux][Debian][Fedora][RedHat][SuSE]

UPDATE: DFN-CERT-2015-1293 GdkPixbuf: Eine Schwachstelle ermöglicht das Ausführen beliebigen Programmcodes mit Benutzerrechten [Linux][Debian][Fedora][RedHat][SuSE]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 5 (07.09.2015):
Für openSUSE 13.2 steht ein Sicherheitsupdate zur Verfügung.
Version 4 (31.08.2015):
Red Hat stellt für die Produkte Desktop, HPC Node, Server und Workstation
auf Red Hat Enterprise Linux 6 und 7 Sicherheitsupdates bereit.
Version 3 (27.08.2015):
Für die Distributionen Ubuntu 15.04, 14.04 LTS und 12.04 LTS stehen
Sicherheitsupdates zur Verfügung.
Version 2 (26.08.2015):
Für die Distributionen Fedora 21 und Fedora 22 stehen Sicherheitsupdates
zur Verfügung.
Version 1 (19.08.2015):
Neues Advisory

Betroffene Software:

GdkPixbuf < 2.31.5 Betroffene Plattformen: Canonical Ubuntu Linux 12.04 Lts Canonical Ubuntu Linux 14.04 Lts Canonical Ubuntu Linux 15.04 Debian Linux 7.8 Wheezy Debian Linux 8.1 Jessie Debian Linux 9.0 Stretch openSUSE 13.2 Red Hat Enterprise Linux Desktop 6 Red Hat Enterprise Linux Desktop 7 Red Hat Enterprise Linux HPC Node 6 Red Hat Enterprise Linux HPC Node 7 Red Hat Enterprise Linux Server 6 Red Hat Enterprise Linux Server 7 Red Hat Enterprise Linux Workstation 6 Red Hat Enterprise Linux Workstation 7 Red Hat Fedora 21 Red Hat Fedora 22 Eine Schwachstelle in der Programmbibliothek GdkPixbuf (GIMP Drawing Kit - Pixel Buffer) ermöglicht einem entfernten, nicht authentifizierten Angreifer beliebigen Programmcode mit den Rechten eines Benutzers auszuführen. Debian stellt für die alte stabile Distribution Wheezy (7.8), die stabile Distribution Jessie (8.1) und für die 'testing' Distribution Stretch (9.0) Sicherheitsupdates zur Verfügung, um diese Schwachstelle zu beheben. Patch: Debian Security Advisory DSA-3337-1 https://www.debian.org/security/2015/dsa-3337

Patch:

Fedora Security Update FEDORA-2015-13925

https://bodhi.fedoraproject.org/updates/gdk-pixbuf2-2.31.6-1.fc22

Patch:

Fedora Security Update FEDORA-2015-13926

https://bodhi.fedoraproject.org/updates/gdk-pixbuf2-2.31.6-1.fc21

Patch:

Fedora Security Update FEDORA-2015-14010

https://bodhi.fedoraproject.org/updates/mingw-gdk-pixbuf-2.31.6-1.fc21

Patch:

Fedora Security Update FEDORA-2015-14011

https://bodhi.fedoraproject.org/updates/mingw-gdk-pixbuf-2.31.6-1.fc22

Patch:

Ubuntu Security Notice USN-2722-1

http://www.ubuntu.com/usn/usn-2722-1/

Patch:

Red Hat Security Advisory RHSA-2015:1694

http://rhn.redhat.com/errata/RHSA-2015-1694.html

Patch:

openSUSE Security Update openSUSE-SU-2015:1500-1

http://lists.opensuse.org/opensuse-updates/2015-09/msg00002.html

CVE-2015-4491: Heap-Überlauf-Schwachstelle in der Bibliothek ‘gdk-pixbuf’

Beim Skalieren von Bitmap-Bildern lässt sich in der u.a. von Firefox
genutzten Bibliothek ‘gdk-pixbuf’ bevor Version 2.31.5 auf Linux-Systemen
ein Heap-Überlauf auslösen. Ein entfernter, nicht authentifizierter
Angreifer kann diese Schwachstelle dazu ausnutzen, beliebigen Programmcode
mit den Rechten des Benutzers auszuführen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-1293/

Schwachstelle CVE-2015-4491 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-4491

Debian Security Advisory DSA-3337-1:
https://www.debian.org/security/2015/dsa-3337

Fedora Security Update FEDORA-2015-13925 :
https://bodhi.fedoraproject.org/updates/gdk-pixbuf2-2.31.6-1.fc22

Fedora Security Update FEDORA-2015-13926 :
https://bodhi.fedoraproject.org/updates/gdk-pixbuf2-2.31.6-1.fc21

Fedora Security Update FEDORA-2015-14010 :
https://bodhi.fedoraproject.org/updates/mingw-gdk-pixbuf-2.31.6-1.fc21

Fedora Security Update FEDORA-2015-14011 :
https://bodhi.fedoraproject.org/updates/mingw-gdk-pixbuf-2.31.6-1.fc22

Ubuntu Security Notice USN-2722-1:
http://www.ubuntu.com/usn/usn-2722-1/

Red Hat Security Advisory RHSA-2015:1694:
http://rhn.redhat.com/errata/RHSA-2015-1694.html

openSUSE Security Update openSUSE-SU-2015:1500-1:
http://lists.opensuse.org/opensuse-updates/2015-09/msg00002.html

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben