UPDATE: DFN-CERT-2017-0753 Graphite2: Eine Schwachstelle ermöglicht einen Denial-of-Service-Angriff [Linux][SuSE]

UPDATE: DFN-CERT-2017-0753 Graphite2: Eine Schwachstelle ermöglicht einen Denial-of-Service-Angriff [Linux][SuSE]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 2 (16.05.2017):
openSUSE stellt für die Distributionen openSUSE Leap 42.1 und openSUSE
Leap 42.2 Sicherheitsupdates für Graphite2 zur Verfügung.
Version 1 (03.05.2017):
Neues Advisory

Betroffene Software:

Graphite2

Betroffene Plattformen:

SUSE Linux Enterprise Software Development Kit 12 SP1
SUSE Linux Enterprise Software Development Kit 12 SP2
openSUSE Leap 42.1
openSUSE Leap 42.2
SUSE Linux Enterprise Desktop 12 SP1
SUSE Linux Enterprise Desktop 12 SP2
SUSE Linux Enterprise Server 12 SP1
SUSE Linux Enterprise Server 12 SP2
SUSE Linux Enterprise Server 12 SP2 for Raspberry Pi

Ein entfernter, nicht authentisierter Angreifer kann eine Schwachstelle in
Graphite2 mit Hilfe einer speziell präparierten Schriftart ausnutzen, um die
Bibliothek oder eine mit ihr verknüpfte Anwendung zum Absturz zu bringen
(Denial-of-Service). Die Schwachstelle wird als kritisch eingestuft und
lässt sich möglicherweise für weitere Angriffe ausnutzen.

Für die SUSE Linux Enterprise Produkte Desktop, Server und Software
Development Kit in den Versionen 12 SP1 und 12 SP2 sowie für den SUSE Linux
Enterprise Server for Raspberry Pi 12 SP2 stehen Sicherheitsupdates bereit.

Patch:

SUSE Security Update SUSE-SU-2017:1149-1

http://lists.suse.com/pipermail/sle-security-updates/2017-May/002840.html

Patch:

openSUSE Security Update openSUSE-SU-2017:1273-1

http://lists.opensuse.org/opensuse-updates/2017-05/msg00053.html

CVE-2017-5436: Schwachstelle in Graphite2 ermöglicht
Denial-of-Service-Angriff

In der Graphite2-Bibliothek, die auch in Mozilla Firefox und Firefox ESR
enthalten ist, existiert eine Schwachstelle, die es ermöglicht, mit Hilfe
einer speziell präparierten Graphite-Schriftart einen Schreibzugriff auf
Speicherbereiche außerhalb der zulässigen Grenzen durchzuführen
(Out-of-Bounds Write).

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-0753/

Schwachstelle CVE-2017-5436 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-5436

SUSE Security Update SUSE-SU-2017:1149-1:
http://lists.suse.com/pipermail/sle-security-updates/2017-May/002840.html

openSUSE Security Update openSUSE-SU-2017:1273-1:
http://lists.opensuse.org/opensuse-updates/2017-05/msg00053.html

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben