2014-1626: X.Org-Server: Mehrere Schwachstellen ermöglichen das Ausführen beliebigen Programmcodes
Historie:
- Version 1 (2014-12-10 19:44)
- Neues Advisory
- Version 2 (2014-12-11 12:29)
- Für die Debian Distribution Wheezy steht ein Sicherheitsupdate bereit, welches die Schwachstelle CVE-2014-8103 jedoch nicht benennt.
- Version 3 (2014-12-12 11:21)
- Red Hat stellt für verschiedene Produkte Sicherheitsupdates zur Verfügung. Für die Produkte Desktop, HPC Node, Server und Workstation für Red Hat Enterprise Linux 6 und 7 sowie Red Hat Enterprise Linux Server EUS (v. 6.6.z) werden alle genannten Schwachstellen behoben. Für die Red Hat Enterprise Linux 5 Produkte Desktop Workstation (Client), Desktop (Client) und Server werden die Schwachstellen CVE-2014-8094 und CVE-2014-8103 nicht adressiert.
- Version 4 (2014-12-29 12:48)
- Für die Distributionen openSUSE 12.3, openSUSE 13.1 und openSUSE 13.2 stehen Sicherheitsupdates zur Verfügung.
- Version 5 (2015-01-09 12:30)
- Für die NetBSD Versionen 5.1, 5.2, 6.0 und 6.1 stehen Sicherheitsupdates bereit, welche die Schwachstellen, inklusive der neu in dieser Meldung referenzierten Schwachstelle CVE-2013-6424, adressieren.
- Version 6 (2015-01-15 18:27)
- Für SUSE Linux Enterprise Software Development Kit 11 SP3, Server 11 SP3 für VMware, Server 11 SP3 und Desktop 11 SP3 stehen Sicherheitsupdates für XOrg 11 Server zur Verfügung, welche allerdings nicht die Schwachstellen CVE-2013-6424 und CVE-2014-8103 adressieren.
- Version 7 (2015-01-16 10:35)
- Für SUSE Linux Enterprise 12 stehen für Software Development Kit, Server und Desktop Sicherheitsupdates bereit, welche die Schwachstelle CVE-2013-6424 nicht benennen.
- Version 8 (2015-05-07 16:27)
- openSUSE stellt für die Distributionen openSUSE 13.1 und openSUSE 13.2 ein empfohlenes Sicherheitsupdate zur Verfügung, um eine Regression zu beheben, die mit der Beseitigung der Schwachstelle CVE-2014-8092 über das Sicherheitsupdate openSUSE-SU-2014:1719-1 eingeführt wurde. Bei der Regression handelt es sich um eine Denial-of-Service-Problematik, da die Funktion PutImage beim Aufruf mit einer Höhe von 0 abstürzt.
Betroffene Software
Systemsoftware
Betroffene Plattformen
Linux
UNIX
Beschreibung:
Mehrere zum Teil sehr alte Schwachstellen im X-Server ermöglichen einem entfernten, zumeist authentifizierten Angreifer, einen Denial-of-Service-Angriff durchzuführen oder beliebigen Programmcode auszuführen.
Schwachstellen:
CVE-2013-6424
Schwachstelle in X.Org-ServerCVE-2014-8091
Schwachstelle im Client ermöglicht Denial-of-Service-AngriffCVE-2014-8092
Schwachstelle in X11-Core-Protokoll ermöglicht Ausführen beliebigen ProgrammcodesCVE-2014-8093
Schwachstelle in GLX-Erweiterung ermöglicht Ausführen von beliebigem ProgrammcodeCVE-2014-8094
Schwachstelle in DRI2-Erweiterung ermöglicht Denial-of-Service-AngriffCVE-2014-8095
Schwachstelle in XInput-Erweiterung ermöglicht das Ausführen von beliebigem ProgrammcodeCVE-2014-8096
Schwachstelle in XC-MISC-Erweiterung ermöglicht das Ausführen von beliebigem ProgrammcodeCVE-2014-8097
Schwachstelle in DBE-Erweiterung ermöglicht das Ausführen von beliebigem ProgrammcodeCVE-2014-8098
Schwachstelle in GLX-Erweiterung ermöglicht das Ausführen von beliebigem ProgrammcodeCVE-2014-8099
Schwachstelle in XVideo-Erweiterung ermöglicht das Ausführen beliebigen ProgrammcodesCVE-2014-8100
Schwachstelle in Render-Erweiterung ermöglicht das Ausführen von beliebigem ProgrammcodeCVE-2014-8101
Schwachstelle in RandR-Erweiterung ermöglicht das Ausführen von beliebigem ProgrammcodeCVE-2014-8102
Schwachstelle in XFixes ermöglicht das Ausführen beliebigen ProgrammcodesCVE-2014-8103
Schwachstelle in DRI3- und Present-Erweiterung ermöglicht das Ausführen von beliebigem Programmcode
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.