Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Historie:
Version 5 (22.05.2017):
Für Fedora 25 steht ein neuer Build von ‘mupdf’ mit neuer Version von
‘jbig2dec’ als Sicherheitsupdate in Form des Paketes ‘mupdf-1.10a-7.fc25’
im Status ‘testing’ bereit, durch welches zusätzlich die Schwachstellen
CVE-2016-8728 und CVE-2016-8729 behoben werden. Das vorherige
Sicherheitsupdate FEDORA-2017-9699cf7eac (‘mupdf-1.10a-6.fc25’) wurde in
den Status ‘obsolete’ versetzt und deshalb entfernt. Das entsprechend
Sicherheitsupdate FEDORA-2017-d80262b43f für Fedora 26 befindet sich
inzwischen im Status ‘stable’.
Version 4 (19.05.2017):
Debian stellt für die stabile Distribution Debian Jessie ein
Sicherheitsupdate bereit.
Version 3 (15.05.2017):
Für Fedora EPEL 7 steht ein Sicherheitsupdate für ‘jbig2dec’ im Status
‘testing’ bereit.
Version 2 (12.05.2017):
Ein neuer Build von ‘mupdf’ beinhaltet die neue Version von ‘jbig2dec’ als
Sicherheitsupdate für Fedora 25 und 26. Das Sicherheitsupdate für Fedora
25 in Form des Paketes ‘mupdf-1.10a-6.fc25’ befindet sich im Status
‘pending’, während das Sicherheitsupdate für Fedora 26
‘mupdf-1.10a-6.fc26’ bereits den Status ‘testing’ besitzt.
Version 1 (10.05.2017):
Neues Advisory
Betroffene Software:
MuPDF
jbig2dec 0.13
Betroffene Plattformen:
Debian Linux 8.8 Jessie
Red Hat Fedora 25
Red Hat Fedora 26
Extra Packages for Red Hat Enterprise Linux 7
Mehrere Schwachstellen in jbig2dec 0.13 und möglicherweise früher
ermöglichen einem entfernten, nicht authentisierten Angreifer die
Durchführung verschiedener Denial-of-Service (DoS)-Angriffe und das
Ausspähen sensitiver Informationen aus dem Prozessspeicher mit Hilfe
speziell präparierter ‘JB2’-Dateien.
Artifex hat bisher noch nicht auf die Veröffentlichung der Schwachstellen
reagiert, da die aktuelle Version 0.13 als von Ghostscript separates Produkt
betrachtet wird und daher nur eingeschränkten Support erhält.
Für Fedora 25 und 26 stehen Sicherheitsupdates bereit. Fedora 25 ist dabei
nur von CVE-2017-7885 und CVE-2017-7975 betroffen. Das Sicherheitsupdate für
Fedora 25 ist im Status ‘testing’, während sich dasjenige für Fedora 26 noch
im Status ‘pending’ befindet.
Patch:
Fedora Security Update FEDORA-2017-58170ecb09 (jbig2dec-0.12-4.fc25)
https://bodhi.fedoraproject.org/updates/FEDORA-2017-58170ecb09
Patch:
Fedora Security Update FEDORA-2017-b7234d284e (jbig2dec-0.13-3.fc26)
https://bodhi.fedoraproject.org/updates/FEDORA-2017-b7234d284e
Patch:
Fedora Security Update FEDORA-2017-d80262b43f (mupdf-1.10a-6.fc26)
https://bodhi.fedoraproject.org/updates/FEDORA-2017-d80262b43f
Patch:
Fedora Security Update FEDORA-EPEL-2017-c97810a9a7 (jbig2dec-0.12-4.el7)
https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2017-c97810a9a7
Patch:
Debian Security Advisory DSA-3855-1
https://www.debian.org/security/2017/dsa-3855
Patch:
Fedora Security Update FEDORA-2017-5135c91b36 (Fedora 25,
mupdf-1.10a-7.fc25)
https://bodhi.fedoraproject.org/updates/FEDORA-2017-5135c91b36
CVE-2016-8729: Schwachstelle in MuPDF ermöglicht Ausführung beliebigen
Programmcodes
Im JBIG2 Parser von Artifex MuPDF 1.9 existiert eine Schwachstelle, durch
die es bei der Verarbeitung einer speziell präparierten PDF-Datei zu einer
negativen Zahl kommen kann, die an ein ‘memset’ weitergegeben wird, was eine
Speicherkorruption (Memory Corruption) zur Folge hat. Ein entfernter, nicht
authentisierter Angreifer kann diese Schwachstelle ausnutzen, falls es ihm
gelingt, einen Benutzer dazu zu verleiten, eine schädlich präparierte
PDF-Datei zu öffnen, um beliebigen Programmcode zur Ausführung zu bringen.
CVE-2016-8728: Schwachstelle in MuPDF ermöglicht Ausführung beliebigen
Programmcodes
In der Fitz Graphik-Bibliothek als Teil des MuPDF Renderers existiert eine
Schwachstelle, durch die es bei der Verarbeitung einer speziell präparierten
PDF-Datei zum Schreiben außerhalb zugewiesener Speichergrenzen auf dem Heap
(Heap Out-of-Bounds Write) kommen kann. Ein entfernter, nicht
authentisierter Angreifer kann diese Schwachstelle ausnutzen, falls es ihm
gelingt, einen Benutzer dazu zu verleiten, eine schädlich präparierte
PDF-Datei in einer verwundbaren Reader-Version zu öffnen, um beliebigen
Programmcode zur Ausführung zu bringen.
CVE-2017-7976: Schwachstelle in jbig2dec ermöglicht
Denial-of-Service-Angriff und Ausspähen von Informationen
In der Funktion ‘jbig2_image_compose’ in ‘jbig2_image.c’ in jbig2dec 0.13,
wie verwendet in Ghostscript, kann es bei der Verarbeitung speziell
präparierter ‘.jb2’-Dateien aufgrund eines Ganzzahlüberlaufs (Integer
Overflow) zu einem Lesen oder Schreiben außerhalb zugewiesener
Speichergrenzen (Out-of-Bounds Read or Write) und dadurch zum Absturz der
Anwendung oder zur Offenlegung sensitiver Informationen aus dem
Prozessspeicher kommen. Ein entfernter, nicht authentisierter Angreifer kann
mit Hilfe einer speziell präparierten Datei einen Denial-of-Service
(DoS)-Angriff durchführen oder Informationen ausspähen.
CVE-2017-7885: Schwachstelle in jbig2dec ermöglicht
Denial-of-Service-Angriff und Ausspähen von Informationen
In der Funktion ‘jbig2_decode_symbol_dict’ in ‘jbig2_symbol_dict.c’ in
jbig2dec 0.13, wie verwendet in Ghostscript, kann es bei der Verarbeitung
speziell präparierter ‘.jb2’-Dateien aufgrund eines Ganzzahlüberlaufs
(Integer Overflow) zu einem Lesen über Puffergrenzen hinaus auf dem Heap
(Heap-based Buffer Overread) und dadurch zum Absturz der Anwendung oder zur
Offenlegung sensitiver Informationen aus dem Prozessspeicher kommen. Ein
entfernter, nicht authentisierter Angreifer kann mit Hilfe einer speziell
präparierten Datei einen Denial-of-Service (DoS)-Angriff durchführen oder
Informationen ausspähen.
CVE-2017-7975: Schwachstelle in jbig2dec ermöglicht u.a.
Denial-of-Service-Angriff
In der Funktion ‘jbig2_build_huffman_table’ in ‘jbig2_huffman.c’ in jbig2dec
0.13, wie verwendet in Ghostscript, kann es bei der Verarbeitung speziell
präparierter ‘.jb2’-Dateien (Typ ‘JBIG2’) aufgrund eines Ganzzahlüberlaufs
(Integer Overflow) zu einem Schreiben außerhalb zugewiesener Speichergrenzen
(Out-of-Bounds Write) und dadurch zum Absturz der Anwendung oder
möglicherweise zur Ausführung von Programmcode kommen. Ein entfernter, nicht
authentisierter Angreifer kann mit Hilfe einer speziell präparierten Datei
einen Denial-of-Service (DoS)-Angriff durchführen oder möglicherweise
beliebigen Programmcode zur Ausführung bringen.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-0803/
Schwachstelle CVE-2017-7885 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-7885
Schwachstelle CVE-2017-7975 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-7975
Schwachstelle CVE-2017-7976 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-7976
Fedora Security Update FEDORA-2017-58170ecb09 (jbig2dec-0.12-4.fc25):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-58170ecb09
Fedora Security Update FEDORA-2017-b7234d284e (jbig2dec-0.13-3.fc26):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-b7234d284e
Informationen zu jbig2dec vom Hersteller Artifex:
https://artifex.com/developers-ghostscript-jbig2dec/
Fedora Security Update FEDORA-2017-d80262b43f (mupdf-1.10a-6.fc26):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-d80262b43f
Fedora Security Update FEDORA-EPEL-2017-c97810a9a7 (jbig2dec-0.12-4.el7):
https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2017-c97810a9a7
Debian Security Advisory DSA-3855-1:
https://www.debian.org/security/2017/dsa-3855
Fedora Security Update FEDORA-2017-5135c91b36 (Fedora 25, mupdf-1.10a-7.fc25):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-5135c91b36
Schwachstelle CVE-2016-8728 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-8728
Schwachstelle CVE-2016-8729 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-8729
(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.
