2014-1487: GNU Binutils: Mehrere Schwachstellen ermöglichen das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2014-11-14 12:25)

Neues Advisory

Version 2 (2014-11-17 16:46)

Für Fedora 19, 20 und 21 wurden neue Sicherheitsupdates zur Verfügung gestellt, die die zwei neu in das Advisory aufgenommenen Schwachstellen ( CVE-2014-8737, CVE-2014-8738 ) zusätzlich beheben.

Version 3 (2014-12-29 15:50)

Für Fedora 20 und 21 sowie Fedora EPEL 7 wurden neue Sicherheitsupdates Form der Pakete mingw-binutils-2.24-5.fc20, mingw-binutils-2.25-1.fc21 und mingw-binutils-2.25-1.el7 (alle im Status "testing") zur Verfügung gestellt.

Version 4 (2015-01-09 15:44)

Für Fedora 20 wurde ein neues Sicherheitsupdate Form des Paketes cross-binutils-2.25-3.fc20 (im Status "testing") zur Verfügung gestellt, die Schwachstellen CVE-2014-8737 und CVE-2014-8738 werden darin nicht genannt.

Version 5 (2015-01-12 15:58)

Für die stabile Distribution Debian Wheezy (7.7) wurde ein Sicherheitsupdate in Form eines Paketes binutils 2.22-8 zur Verfügung gestellt. Die Schwachstellen CVE-2014-8484 und CVE-2014-8485 wurden zusätzlich aufgenommen.

Version 6 (2015-01-29 18:16)

Für die SUSE Linux Enterprise 11 SP3 Produkte Software Development Kit, Server, Server für VMware und Desktop sowie die SUSE Linux Enterprise 12 Produkte Software Development Kit, Server und Desktop stehen Sicherheitsupdates bereit.

Version 7 (2015-02-10 18:07)

Canonical stellt für Ubuntu 10.04 LTS, Ubuntu 12.04 LTS, Ubuntu 14.04 LTS und Ubuntu 14.10 Sicherheitsupdates bereit, welche die Schwachstelle CVE-2012-3509 zusätzlich benennen.

Version 8 (2015-11-20 13:02)

Für verschiedene Red Hat Enterprise Linux 7 Produktvarianten stehen Sicherheitsupdates in Form aktualisierter 'binutils'-Pakete zur Verfügung; die Schwachstelle CVE-2012-3509 wird nicht benannt.

Betroffene Software

Systemsoftware

Betroffene Plattformen

Linux

Beschreibung:

Mehrere Schwachstellen in den GNU Binutils führen dazu, dass ein entfernter, nicht authentifizierter Angreifer einen Denial-of-Service-Angriff durchführen oder beliebigen Programmcode ausführen kann.

Schwachstellen:

CVE-2012-3509

Schwachstelle in GNU libiberty

CVE-2014-8484

Schwachstelle in GNU binutils erlaubt Denial-of-Service

CVE-2014-8485

Schwachstelle in GNU binutils erlaubt Denial-of-Service

CVE-2014-8501

Out-of-Bounds-Schwachstelle in den GNU binutils ermöglicht einen Denial-of-Service-Angriff

CVE-2014-8502

Speicher-Überlauf-Schwachstelle in objdump in GNU binutils ermöglicht einen Denial-of-Service-Angriff

CVE-2014-8503

Stapelspeicherüberlauf in objdump in GNU binutils ermöglicht das Ausführen von beliebigen Programmcode

CVE-2014-8504

Stapelspeicherüberlauf im SREC-Parser in GNU binutils ermöglicht das Ausführen von beliebigem Programmcode

CVE-2014-8737

Verzeichnis-Traversal-Schwachstelle in GNU binutils ermöglicht das Manipulieren von Dateien

CVE-2014-8738

Schwachstelle in objdump in GNU binutils ermöglicht Denial-of-Service-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.