DFN-CERT

Advisory-Archiv

2017-1575: LibRaw: Mehrere Schwachstellen ermöglichen u.a. einen Denial-of-Service-Angriff

Historie:

Version 1 (2017-09-07 19:33)
Neues Advisory
Version 2 (2017-09-11 12:15)
Für Fedora 26 und 27 stehen weitere Sicherheitsupdates in Form der Pakete 'rawtherapee-5.2-2.fc26' und 'rawtherapee-5.2-2.fc27' bereit, um die Schwachstelle zu beheben. Das Sicherheitsupdate für Fedora 26 befindet sich derzeit noch im Status 'pending', das für Fedora 27 besitzt bereits den Status 'testing'.
Version 3 (2017-09-11 13:28)
Für Fedora 25, 26 und 27 stehen zusätzliche Sicherheitsupdates in Form der Pakete 'mingw-LibRaw-0.17.2-2.fc25', 'mingw-LibRaw-0.18.3-1.fc26' und 'mingw-LibRaw-0.18.3-1.fc27' im Status 'testing' bereit, um die Schwachstelle zu beheben.
Version 4 (2017-09-12 11:33)
Für Fedora 26 und 27 stehen neue Sicherheitsupdates in Form der Pakete 'LibRaw-0.18.3-1.fc26' und 'LibRaw-0.18.3-1.fc27' im Status 'testing' bereit. Die früheren Sicherheitsupdates FEDORA-2017-5b0b14f676 (Fedora 26, LibRaw-0.18.2-5.fc26) und FEDORA-2017-2715e3288e (Fedora 27, LibRaw-0.18.2-5.fc27) wurden in den Status 'obsolete' versetzt und deshalb aus dieser Sicherheitsmeldung entfernt.
Version 5 (2017-09-13 17:47)
Für Fedora 26 und 27 stehen wiederum neue Sicherheitsupdates in Form der Pakete 'LibRaw-0.18.4-1.fc26' und 'LibRaw-0.18.4-1.fc27' im Status 'testing' sowie 'mingw-LibRaw-0.18.4-1.fc26' und 'mingw-LibRaw-0.18.4-1.fc27' im Status 'pending' bereit, welche nun auch die Schwachstelle CVE-2017-14265 adressieren. Diese ermöglicht es einem entfernten, nicht authentisierten Angreifer einen weiteren Denial-of-Service (DoS)-Angriff durchzuführen oder beliebigen Programmcode zur Ausführung zu bringen. Die früheren Sicherheitsupdates FEDORA-2017-cdc379fded (Fedora 26, LibRaw-0.18.3-1.fc26), FEDORA-2017-e8ec00bde7 (Fedora 27, LibRaw-0.18.3-1.fc27), FEDORA-2017-2cd2d52327 (Fedora 26, mingw-LibRaw-0.18.3-1) und FEDORA-2017-d2f31670a4 (Fedora 27, mingw-LibRaw-0.18.3-1) wurden in den Status 'obsolete' versetzt und deshalb aus dieser Sicherheitsmeldung entfernt.
Version 6 (2017-09-18 12:38)
Für Fedora 26 und 27 stehen erneut aktualisierte 'LibRaw'-Pakete und für Fedora 25 ein aktualisiertes 'mingw-LibRaw'-Paket bereit. Für Fedora 26 steht das Paket 'LibRaw-0.18.4-2.fc26' als zusätzliches Sicherheitsupdate bereit, welches die Schwachstelle CVE-2017-14348 adressiert. Die Pakete 'mingw-LibRaw-0.17.2-3.fc25' und 'LibRaw-0.18.4-2.fc27' für Fedora 25 und 27 adressieren nun ebenfalls die Schwachstelle CVE-2017-14348, ersetzen aber die zuvor mit den Meldungen FEDORA-2017-75aeda4803 (Fedora 25, mingw-LibRaw-0.17.2-2.fc25) und FEDORA-2017-60f90dbe89 (Fedora 27, LibRaw-0.18.4-1.fc27) veröffentlichten und nun in den Status 'obsolete' versetzten Sicherheitsupdates. Alle Sicherheitsupdates befinden sich derzeit im Status 'testing'. Die Referenzen zu den obsoleten Sicherheitsupdates wurden aus dieser Meldung entfernt.
Version 7 (2017-09-25 17:26)
Für Fedora 26 und 27 stehen erneut aktualisierte Sicherheitsupdates für LibRaw in Form der Pakete 'LibRaw-0.18.5-1.fc26' und 'LibRaw-0.18.5-1.fc27' bereit. Das Sicherheitsupdate für Fedora 27, welches sich im Status 'testing' befindet' adressiert die Schwachstellen CVE-2017-13735 und CVE-2017-14265. Das im Status 'stable' befindliche Sicherheitsupdate für Fedora 26 adressiert alle Schwachstellen und ersetzt das vorausgegangene und in den Status 'obsolete' versetzte Sicherheitsupdate FEDORA-2017-5f699cb371 (Fedora 26, LibRaw-0.18.4-2). Die entsprechende Referenz wurde aus dieser Meldung entfernt. Zudem stehen für Fedora 26 und 27 die Pakete 'mingw-LibRaw-0.18.5-1.fc26' und 'mingw-LibRaw-0.18.5-1.fc27' als Sicherheitsupdates zur Behebung der Schwachstelle CVE-2017-14265 im Status 'testing' bereit.
Version 8 (2017-10-04 15:54)
Für openSUSE Leap 42.2 und openSUSE Leap 42.3 stehen Sicherheitsupdates für 'libraw' bereit, welche die Schwachstellen CVE-2017-13735 und CVE-2017-14265 adressieren.
Version 9 (2017-12-14 10:52)
Für Fedora EPEL 7 steht ein Sicherheitsupdate für 'LibRaw' im Status 'testing' bereit, in dem die beiden Schwachstellen CVE-2017-13735 und CVE-2017-14265 explizit als behoben angegeben werden. Mit dem Update werden mehrere weitere, möglicherweise sicherheitsrelevante Softwareprobleme behoben.

Betroffene Software

Systemsoftware

Betroffene Plattformen

Linux

Beschreibung:

Eine Schwachstelle in LibRaw ermöglicht einem entfernten, nicht authentisierten Angreifer einen Denial-of-Service (DoS)-Angriff mit Hilfe einer speziell präparierten Bilddatei durchzuführen.

Für Fedora 25, 26 und 27 stehen Sicherheitsupdates in Form der Pakete 'LibRaw-0.17.2-2.fc25', 'LibRaw-0.18.2-5.fc26' und 'LibRaw-0.18.2-5.fc27' zur Verfügung. Das Sicherheitsupdate für Fedora 27 befindet sich im Status 'testing', während die anderen derzeit noch 'pending' sind.

Schwachstellen:

CVE-2017-13735

Schwachstelle in LibRaw ermöglicht Denial-of-Service-Angriff

CVE-2017-14265

Schwachstelle in LibRaw ermöglicht Ausführung beliebigen Programmcodes

CVE-2017-14348

Schwachstelle in LibRaw ermöglicht Denial-of-Service-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.