Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 2 (20.04.2016):
openSUSE veröffentlicht ein Sicherheitsupdate für die Distribution
openSUSE 13.1.
Version 1 (18.04.2016):
Neues Advisory

Betroffene Software:

Bibliothek LibTIFF

Betroffene Plattformen:

openSUSE 13.1
openSUSE 13.2

Ein entfernter, nicht authentifizierter Angreifer kann mit Hilfe einer
speziell präparierten Datei einen Denial-of-Service-Angriff ausführen.

Für die Distribution openSUSE 13.2 steht ein Sicherheitsupdate zur
Verfügung, das diese Schwachstelle behebt.

Patch:

openSUSE Security Update openSUSE-SU-2016:1081-1

http://lists.opensuse.org/opensuse-updates/2016-04/msg00064.html

Patch:

openSUSE Security Update openSUSE-SU-2016:1103-1

http://lists.opensuse.org/opensuse-updates/2016-04/msg00075.html

CVE-2016-3186: Schwachstelle in LibTIFF ermöglicht Denial-of-Service-Angriff

Bei der Verarbeitung von speziell präparierten Dateien durch die Funktion
‘readextension’ in ‘gif2tiff.c’ kann es zu Zugriffen auf Speicher außerhalb
des zugewiesenen Bereichs (Buffer Overflow) kommen. Ein entfernter, nicht
authentifizierter Angreifer kann mit Hilfe einer speziell präparierten
Bilddatei einen Denial-of-Service-Zustand auslösen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2016-0625/

Schwachstelle CVE-2016-3186 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3186

openSUSE Security Update openSUSE-SU-2016:1081-1:
http://lists.opensuse.org/opensuse-updates/2016-04/msg00064.html

openSUSE Security Update openSUSE-SU-2016:1103-1:
http://lists.opensuse.org/opensuse-updates/2016-04/msg00075.html

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.