2017-1361: QPDF: Mehrere Schwachstellen ermöglichen Denial-of-Service-Angriffe

Historie:

Version 1 (2017-08-04 12:04): Neues Advisory
Version 2 (2017-08-14 13:44): Für Fedora 25 und 26 stehen erneuert Sicherheitsupdates in Form der Pakete 'qpdf-6.0.0-6.fc25' und 'qpdf-6.0.0-8.fc26' im Status 'testing' bereit. Die zuvor veröffentlichten 'qpdf'-Pakete für Fedora 25 (FEDORA-2017-5bca8ec531) und Fedora EPEL 6 (FEDORA-EPEL-2017-cbc54495c7) befinden sich jetzt im Status 'unpushed', während das zuvor veröffentlichte 'qpdf'-Paket für Fedora 26 weiterhin den Status 'stable' hat. Die 'cups-filters'-Pakete für Fedora 25 und 26 mussten aufgrund von Änderungen zur Behebung der Schwachstellen in QPDF neu gebaut werden und stehen nun in Form der Pakete 'cups-filters-1.10.0-4.fc25' und 'cups-filters-1.13.4-3.fc26' ebenfalls im Status 'testing' bereit.
Version 3 (2017-08-16 12:59): Für Fedora EPEL 6 steht mit dem Paket 'qpdf-5.1.1-5.el6' ein aktualisiertes Sicherheitsupdate für QPDF im Status 'testing' bereit, welches das zuvor mit der Sicherheitsmeldung FEDORA-EPEL-2017-cbc54495c7 veröffentlichte und in den Status 'unpushed' versetzte Paket 'qpdf-5.1.1-3.el6' ersetzt.

Betroffene Software

Office
Systemsoftware

Betroffene Plattformen

Linux

Beschreibung:

Durch mehrere Schwachstellen in QPDF kann ein entfernter, nicht authentisierter Angreifer mit Hilfe speziell präparierter PDF-Dateien Endlosschleifen erzeugen, durch die der verfügbare Stack-Speicher aufgebraucht wird. In der Folge tritt ein Denial-of-Service-Zustand ein.

Die Schwachstellen betreffen QPDF 5.1.1 und 6.0.0, der Hersteller hat noch kein Sicherheitsupdate veröffentlicht. Für Fedora 25 und 26 stehen Sicherheitsupdates zur Behebung der Schwachstellen für QPDF 6.0.0 bereit. Für Fedora EPEL 6 werden die Schwachstellen für QPDF 5.1.1 behoben. Die Sicherheitsupdates von Fedora befinden sich im Status 'testing'.