2018-0227: Sound eXchange (SoX): Zwei Schwachstellen ermöglichen Denial-of-Service-Angriffe

Historie:

Version 1 (2018-02-02 17:44): Neues Advisory
Version 2 (2018-02-07 17:30): Für Fedora 26 steht ein neues Sicherheitsupdate für 'sox' im Status 'testing' bereit. Mit diesem Sicherheitsupdate wird Benutzern der Zugriff auf eine zu Testzwecken vorhandene Umgebungsvariable entzogen. Das vorherige Sicherheitsupdate, mit dem dieser Zugriff ermöglicht wurde, befindet sich damit im Status 'obsolete' (Referenz hier entfernt).

Betroffene Software

Office

Betroffene Plattformen

Linux

Beschreibung:

Zwei Schwachstellen in Sound eXchange (SoX) ermöglichen einem entfernten, nicht authentisierten Angreifer mit Hilfe speziell präparierter Dateien verschiedene Denial-of-Service (DoS)-Angriffe. Voraussetzung ist, dass es dem Angreifer gelingt einen Benutzer dazu zu verleiten eine solche Datei zu konvertieren.

Für Fedora 26 und 27 stehen Sicherheitsupdates in Form der Pakete 'sox-14.4.2.0-16.fc26' und 'sox-14.4.2.0-16.fc27' im Status 'testing' zur Behebung der Schwachstellen bereit. Fedora referenziert ebenfalls die beiden Schwachstellen CVE-2017-15370 und CVE-2017-15371, welche auch bereits mit den früheren Sicherheitsupdates FEDORA-2018-b26768593c (Fedora 26, sox-14.4.2.0-14.fc26) und FEDORA-2018-b528f28c59 (Fedora 27, sox-14.4.2.0-14.fc27) behoben wurden, die sich jetzt im Status 'stable' befinden.

Schwachstellen:

CVE-2017-15372

Schwachstelle in Sound eXchange ermöglicht Denial-of-Service-Angriff

CVE-2017-15642