2017-1552: libzip: Zwei Schwachstellen ermöglichen verschiedene Denial-of-Service-Angriffe

Historie:

Version 1 (2017-09-05 14:34): Neues Advisory
Version 2 (2017-09-11 13:41): Für Fedora 25, 26 und 27 stehen die Pakete 'mingw-libzip-1.1.3-3.fc25' als Backport-Sicherheitsupdate und die Pakete 'mingw-libzip-1.3.0-1.fc26' und 'mingw-libzip-1.3.0-1.fc27' als Sicherheitsupdates zur Behebung der Schwachstelle CVE-2017-14107 bereit. Die Pakete für Fedora 25 und 27 stehen bereits im Status 'testing' und das Paket für Fedora 26 befindet sich derzeit noch im Status 'pending'. Die vorherigen Sicherheitsupdates FEDORA-2017-dd1dcccf77 (Fedora 26, mingw-libzip-1.2.0-4) und FEDORA-2017-b06c6a6785 (Fedora 27, mingw-libzip-1.2.0-4) wurden in den Status 'obsolete' versetzt und deshalb aus dieser Sicherheitsmeldung entfernt.
Version 3 (2017-09-22 15:42): Für openSUSE Leap 42.3 und openSUSE Leap 42.2 sowie für die SUSE Linux Enterprise 12 SP2 und 12 SP3 Produktvarianten Software Development Kit, Server und Desktop und Server for Raspberry Pi 12 SP2 stehen Sicherheitsupdates für 'libzip' bereit, welche die Schwachstelle CVE-2017-14107 beheben.
Version 4 (2021-12-28 11:32): Für Debian 9 Stretch (LTS) steht ein Sicherheitsupdate für 'libzip' in Version 1.1.2-1.1+deb9u1 bereit, um die Schwachstelle CVE-2017-14107 zu beheben.

Betroffene Software

Datensicherung
Systemsoftware

Betroffene Plattformen

Linux
Microsoft

Beschreibung:

Zwei Schwachstellen können von einem Angreifer lokal für Denial-of-Service (DoS)-Angriffe ausgenutzt werden. Ein erfolgreicher Angriff erfordert die Interaktion eines Benutzers.

Der Hersteller stellt libzip 1.3.0 als Sicherheitsupdate zur Behebung der Schwachstellen bereit.

Für Fedora 26 und 27 stehen Sicherheitsupdates auf diese Version im Status 'testing' bereit.

Schwachstellen:

CVE-2017-12858

Schwachstelle in libzip ermöglicht Denial-of-Service-Angriff

CVE-2017-14107