2018-0333: QPDF: Mehrere Schwachstellen ermöglichen u.a. Denial-of-Service-Angriffe

Historie:

Version 1 (2018-02-19 18:03): Neues Advisory
Version 2 (2018-10-08 16:25): Für die SUSE Linux Enterprise Produkte Software Development Kit 12 SP3, Server for SAP 12 SP1 und 12 SP2, Server 12 LTSS, 12 SP1 LTSS, 12 SP2 LTSS und 12 SP3, Desktop 12 SP3 sowie SUSE Enterprise Storage 4 und SUSE OpenStack Cloud 7 stehen Sicherheitsupdates auf QPDF 7.1.1 bereit, um diese Schwachstellen zu beheben.
Version 3 (2018-10-19 14:45): SUSE stellt für SUSE Linux Enterprise Server 12 SP2 BCL ein Sicherheitsupdate zur Behebung der Schwachstellen zur Verfügung.

Betroffene Software

Office

Betroffene Plattformen

Netzwerk
Cloud
Linux

Beschreibung:

Durch mehrere Schwachstellen in QPDF kann ein entfernter, nicht authentisierter Angreifer mit Hilfe speziell präparierter PDF-Dateien Endlosschleifen erzeugen, durch die der verfügbare Stack-Speicher aufgebraucht wird. In der Folge tritt ein Denial-of-Service (DoS)-Zustand ein. Eine weitere schädliche Einflussnahme kann nicht ausgeschlossen werden.

Die Schwachstellen betreffen QPDF 5.1.1 und 6.0.0. Für openSUSE Leap 42.3 steht ein Sicherheitsupdate auf QPDF 7.1.1 bereit, um diese Schwachstellen zu beheben.