DFN-CERT

Advisory-Archiv

2016-0292: Bibliothek Libgraphite: Mehrere Schwachstellen ermöglichen u.a. die Ausführung beliebigen Programmcodes

Historie:

Version 1 (2016-02-17 18:39)
Neues Advisory
Version 2 (2016-02-18 10:41)
Canonical stellt für Ubuntu 14.04 LTS und Ubuntu 15.10 Sicherheitsupdates für graphite2 bereit.
Version 3 (2016-02-22 11:36)
Debian stellt zur Korrektur der Graphite2-Schwachstellen CVE-2016-1521 bis CVE-2016-1523 Sicherheitsupdates für Wheezy, Jessie und Stretch bereit.
Version 4 (2016-03-01 12:28)
Das Sicherheitsupdate FEDORA-2016-a25ee90150 in Form des Paketes graphite2-1.3.5-1.fc22 wurde in den Status 'obsolete' überführt. Für die Distribution Fedora 22 steht ein neues Paket graphite2-1.3.6-1.fc22 als Sicherheitsupdate im Status 'testing' zur Verfügung. Das Sicherheitsupdate graphite2-1.3.5-1.fc23 für Fedora 23 befindet sich mittlerweile im Status 'stable'. Ein weiteres Sicherheitsupdate für Fedora 23, über das nicht näher spezifizierte Schwachstellen adressiert werden, in Form des Paketes graphite2-1.3.6-1.fc23 befindet sich im Status 'testing'.
Version 5 (2016-03-16 09:44)
SUSE veröffentlicht für die SUSE Linux Enterprise 12 und 12 SP1 Produkte Software Development Kit, Server und Desktop Sicherheitsupdates, welche die Schwachstellen CVE-2016-1521, CVE-2016-1523 und CVE-2016-1526 in Graphite2 adressieren.
Version 6 (2016-03-17 10:49)
Für die Distribution openSUSE 13.2 stehen Sicherheitsupdates für Graphite2 bereit.
Version 7 (2016-03-24 16:48)
Für openSUSE Leap 42.1 stehen Sicherheitsupdates für Graphite2 bereit, die die Schwachstellen CVE-2016-1521, CVE-2016-1523 und CVE-2016-1526 beheben.

Betroffene Software

Systemsoftware

Betroffene Plattformen

Linux

Beschreibung:

In der Bibliothek Libgraphite (Graphite2), welche für die Verarbeitung von Schriftarten in Linux, Firefox, OpenOffice und anderen verbreiteten Anwendungen verwendet wird, existieren mehrere Schwachstellen. Ein entfernter, nicht authentifizierter Angreifer kann diese ausnutzen, um einen Denial-of-Service (DoS)-Angriff durchzuführen oder beliebigen Programmcode zur Ausführung zu bringen.

Für die Distributionen Fedora 22 und 23 stehen Sicherheitsupdates in Form der Pakete graphite2-1.3.5-1.fc22 und graphite2-1.3.5-1.fc23 im Status 'testing' zur Verfügung.

Schwachstellen:

CVE-2016-1521

Schwachstelle in Graphite2 ermöglicht Ausführung beliebigen Programmcodes

CVE-2016-1522

Schwachstelle in Graphite2 ermöglicht Denial-of-Service-Angriff

CVE-2016-1523

Schwachstelle in Graphite2 ermöglicht Ausführung beliebigen Programmcodes

CVE-2016-1526

Schwachstelle in Graphite2 ermöglicht Denial-of-Service-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.