Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Historie:
Version 2 (18.12.2015):
Für Fedora 22, 23 und EPEL 5 stehen neue Sicherheitsupdates in Form der
Pakete libsndfile-1.0.25-18.fc22, libsndfile-1.0.25-18.fc23 und
libsndfile-1.0.17-8.el5 im Status ‘testing’ zur Verfügung, um diese
Schwachstelle zu beheben. Die ebenfalls referenzierte Schwachstelle
CVE-2015-8075 wurde von NVD zwischenzeitlich “rejected”. Die
ursprünglichen Sicherheitsupdates verbleiben im Status ‘stable’.
Version 1 (09.11.2015):
Neues Advisory
Betroffene Software:
Gentoo libsndfile <= 1.0.25 Betroffene Plattformen: Red Hat Fedora 21 Red Hat Fedora 22 Red Hat Fedora 23 Extra Packages for Red Hat Enterprise Linux 5 Eine Schwachstelle in libsndfile ermöglicht einem entfernten, nicht authentifizierten Angreifer die Durchführung eines Denial-of-Service-Angriffs. Für Fedora 21, 22 und 23 und EPEL 5 stehen Sicherheitsupdates in Form der Pakete libsndfile-1.0.25-16.fc21, libsndfile-1.0.25-17.fc22, libsndfile-1.0.25-17.fc23 und libsndfile-1.0.17-7.el5 im Status 'testing' zur Verfügung. Patch: Fedora Security Update FEDORA-2015-0f405832d3 (Fedora 21) https://bodhi.fedoraproject.org/updates/FEDORA-2015-0f405832d3
Patch:
Fedora Security Update FEDORA-2015-56be43eae6 (Fedora 22)
https://bodhi.fedoraproject.org/updates/FEDORA-2015-56be43eae6
Patch:
Fedora Security Update FEDORA-2015-5afed1aad2 (Fedora 23)
https://bodhi.fedoraproject.org/updates/FEDORA-2015-5afed1aad2
Patch:
Fedora Security Update FEDORA-EPEL-2015-38c5cc1eab (Fedora EPEL 5)
https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2015-38c5cc1eab
Patch:
Fedora Security Update FEDORA-2015-0be7a2e1b8 (Fedora 22)
https://bodhi.fedoraproject.org/updates/FEDORA-2015-0be7a2e1b8
Patch:
Fedora Security Update FEDORA-2015-71b291686c (Fedora 23)
https://bodhi.fedoraproject.org/updates/FEDORA-2015-71b291686c
Patch:
Fedora Security Update FEDORA-EPEL-2015-d1309b0eb2 (EPEL 5)
https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2015-d1309b0eb2
CVE-2015-7805: Schwachstelle in libsndfile ermöglicht
Denial-of-Service-Angriff
Eine Schwachstelle in libsndfile bis Version 1.0.25 basiert auf einem
Speicherüberlauf des Heap, der durch einen Verwaltungsfehler der Werte
‘headindex’ und ‘headend’ zustande kommt. Bei der Verarbeitung speziell
präparierter AIFF-Header können die Index-Werte so manipuliert werden, dass
memcpy() Speicher auf dem Heap überschreibt. Ein entfernter, nicht
authentifizierter Angreifer kann diese Schwachstelle mittels speziell
präparierter AIFF-Dateien ausnutzen, um Programme, die libsndfile einbinden,
abstürzen zu lassen (Denial-of-Service).
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-1731/
Schwachstelle CVE-2015-7805 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-7805
Fedora Security Update FEDORA-2015-0f405832d3 (Fedora 21):
https://bodhi.fedoraproject.org/updates/FEDORA-2015-0f405832d3
Fedora Security Update FEDORA-2015-56be43eae6 (Fedora 22):
https://bodhi.fedoraproject.org/updates/FEDORA-2015-56be43eae6
Fedora Security Update FEDORA-2015-5afed1aad2 (Fedora 23):
https://bodhi.fedoraproject.org/updates/FEDORA-2015-5afed1aad2
Fedora Security Update FEDORA-EPEL-2015-38c5cc1eab (Fedora EPEL 5):
https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2015-38c5cc1eab
Fedora Security Update FEDORA-2015-0be7a2e1b8 (Fedora 22):
https://bodhi.fedoraproject.org/updates/FEDORA-2015-0be7a2e1b8
Fedora Security Update FEDORA-2015-71b291686c (Fedora 23):
https://bodhi.fedoraproject.org/updates/FEDORA-2015-71b291686c
Fedora Security Update FEDORA-EPEL-2015-d1309b0eb2 (EPEL 5):
https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2015-d1309b0eb2
(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.
