2018-0371: Leptonica: Mehrere Schwachstellen ermöglichen u.a. die Ausführung beliebigen Programmcodes

Historie:

Version 1 (2018-02-23 19:04): Neues Advisory
Version 2 (2018-03-01 10:29): Für Fedora 26 und 27 stehen Sicherheitsupdates in Form von 'leptonica-1.74.4-5'- und 'mingw-leptonica-1.74.4-4'-Paketen zur Behebung der Schwachstelle CVE-2017-18196 im Status 'testing' bereit. Weiterhin werden die Schwachstellen CVE-2018-3836, CVE-2018-7186 und CVE-2018-7247 mittels der Sicherheitsupdates adressiert, die schon über die zuvor veröffentlichten Updates FEDORA-2018-288870f457 und FEDORA-2018-4f810ecfaf behoben wurden, die sich mittlerweile allerdings im Status 'obsolete' befinden. Die entsprechenden Referenzen wurden daher aus dieser Meldung entfernt.
Version 3 (2018-03-07 11:45): Für openSUSE Leap 42.3 steht eine Sicherheitsupdate für Leptonica bereit, über welches die Schwachstellen CVE-2018-3836, CVE-2018-7186 und CVE-2018-7247 behoben werden. Die nur in der Leptonica Version 1.74.4 existierende Schwachstelle CVE-2017-18196 wird nicht referenziert, da sie für openSUSE Leap 42.3 vermutlich nicht relevant ist.

Betroffene Software

Systemsoftware

Betroffene Plattformen

Linux

Beschreibung:

Zwei Schwachstellen in Leptonica ermöglichen einem lokalen, auch nicht authentisierten Angreifer die Ausführung beliebigen Programmcodes. Durch Ausnutzung einer weiteren Schwachstelle kann der Angreifer einen Denial-of-Service (DoS)-Zustand erzeugen.

Für Fedora 26 und 27 stehen Backport-Sicherheitsupdates für 'leptonica' und 'mingw-leptonica' in Version 1.74.4 bereit, mit denen die Schwachstellen behoben werden. Die Updates befinden sich im Status 'testing'.

Schwachstellen:

CVE-2017-18196

Schwachstelle in Leptonica ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2018-3836

Schwachstelle in Leptonica ermöglicht Ausführung beliebigen Programmcodes

CVE-2018-7186

Schwachstelle in Leptonica ermöglicht Denial-of-Service-Angriff

CVE-2018-7247