DFN-CERT

Advisory-Archiv

2016-0428: Bibliothek libotr: Eine Schwachstelle ermöglicht die Ausführung beliebigen Programmcodes

Historie:

Version 1 (2016-03-10 14:25)
Neues Advisory
Version 2 (2016-03-10 17:29)
Für die Distributionen openSUSE 13.1 und openSUSE Leap 42.1 stehen Sicherheitsupdates für die libotr und libotr2 Pakete bereit.
Version 3 (2016-03-10 19:01)
Canonical veröffentlicht ein Sicherheitsupdate für die Distribution Ubuntu 12.04 LTS.
Version 4 (2016-03-14 11:43)
Für die Distribution openSUSE 13.1 stehen Sicherheitsupdates für die Pakete libotr und libotr2 zur Verfügung.

Betroffene Software

Office
Sicherheit
Systemsoftware

Betroffene Plattformen

Linux

Beschreibung:

Durch eine spezielle Konstruktion von Anfragedaten kann ein entfernter, nicht authentifizierter Angreifer einen Aufruf von 'malloc(0)' erzwingen, der in manchen Fällen einen von NULL verschiedenen Zeiger zurückliefert, wodurch in der Folge beliebige Daten an die zugehörige Speicheradresse geschrieben werden können. Dadurch kann ein Denial-of-Service (DoS)-Zustand erzeugt oder beliebiger Programmcode ausgeführt werden.

Der Hersteller stellt die Bibliothek libotr in der Programmversion 4.1.1 bereit, um die Schwachstelle zu beheben. Das Tor-Projekt veröffentlicht den Tor Messenger in der Programmversion 0.1.0b5, der die Bibliothek libotr in der Version 4.1.1 verwendet. Debian stellt für die Distributionen Wheezy (oldstable) und Jessie (stable) Backport-Sicherheitsupdates bereit. Für die SUSE Linux Enterprise Produkte Software Development Kit, Server und Desktop stehen Sicherheitsupdates für die jeweiligen Programmversionen 11-SP4, 12 und 12-SP1 bereit. Für die Distributionen Fedora 22, 23 und 24 sowie Fedora EPEL 6 und 7 steht jeweils das Paket libotr in der Version 4.1.1 als Sicherheitsupdate im Status 'pending', bzw. 'testing' (Fedora 24) bereit.

Schwachstellen:

CVE-2016-2851

Schwachstelle in Bibliothek libotr ermöglicht Ausführung beliebigen Programmcodes

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.