DFN-CERT

Advisory-Archiv

2018-0523: Libvorbis: Eine Schwachstelle ermöglicht die Ausführung beliebigen Programmcodes

Historie:

Version 1 (2018-03-19 12:42)
Neues Advisory
Version 2 (2018-03-20 10:40)
Für Fedora 26 steht ein Sicherheitsupdate zur Behebung der kritischen Schwachstelle bereit. Das Update befindet sich noch im Status 'pending', der 'Test Gating Status' ist allerdings bereits 'Tests Passed'.
Version 3 (2018-03-22 15:41)
Canonical stellt für Ubuntu 17.10, Ubuntu 16.04 LTS und Ubuntu 14.04 LTS Sicherheitsupdates zur Behebung der Schwachstelle in 'libvorbis' bereit.
Version 4 (2018-03-23 16:49)
SUSE stellt für die SUSE Linux Enterprise Produkte Server und Software Development Kit in den Versionen 11 SP4, 12 SP2 und 12 SP3 sowie für SUSE Linux Enterprise Server for Raspberry Pi 12 SP2, für SUSE Linux Enterprise Desktop 12 SP2 und SP3 Sicherheitsupdates zur Behebung der Schwachstelle in libvorbis bereit. Für SUSE Linux Enterprise Debuginfo 11 SP4 steht ebenfalls ein Sicherheitsupdate zur Verfügung.
Version 5 (2018-03-26 12:10)
Für openSUSE Leap 42.3 steht ein Sicherheitsupdate für Libvorbis zur Behebung der Schwachstelle bereit.
Version 6 (2018-04-06 12:08)
Oracle veröffentlicht für Oracle Linux 6 (i386, x86_64) Sicherheitsupdates für Libvorbis, um die Schwachstelle zu beheben. In der korrespondierenden Sicherheitsmeldung listet Oracle zusätzlich die ältere Schwachstelle CVE-2012-0444 als behoben auf, die einem entfernten, nicht authentisierten Angreifer die Durchführung eines Denial-of-Service-Angriffs sowie vermutlich das Ausführen beliebigen Programmcodes ermöglicht. Red Hat adressiert die referenzierte Schwachstelle mittels Sicherheitsupdates für die Red Hat Enterprise Linux 6 Produktvarianten Server, Workstation, Desktop und Scientific Computing.
Version 7 (2018-04-11 17:04)
Red Hat veröffentlicht für die Red Hat Enterprise Linux 7 Produktvarianten Server, Workstation, Desktop und for Scientific Computing sowie Server Extended Update Support 7.5 und Compute Node 7.5 Sicherheitsupdates für Libvorbis, um die Schwachstelle zu beheben.
Version 8 (2018-04-18 13:01)
Für Oracle Linux 7 (x86_64) steht ein Sicherheitsupdate für Libvorbis zur Behebung der Schwachstelle zur Verfügung.

Betroffene Software

Office
Systemsoftware

Betroffene Plattformen

Linux
Oracle

Beschreibung:

Ein entfernter, nicht authentisierter Angreifer kann mit Hilfe einer manipulierten Audiodatei, welche ein Benutzer abspielen muss, beliebigen Programmcode zur Ausführung bringen.

Der Hersteller Xiph stellt das offizielle Release 1.3.6 zur Verfügung, durch das neben dieser Schwachstelle zwei weitere Schwachstellen (CVE-2017-14632, CVE-2017-14633 -) und Fehler behoben werden, welche vermutlich die Durchführung von Denial-of-Service (DoS)-Angriffen ermöglichen.

Debian stellt für die Distributionen Jessie (oldstable) 8.10 sowie Stretch (stable) 9.4 Sicherheitsupdates für das Paket 'libvorbis' zur Behebung der Schwachstelle bereit. Für Fedora 27 steht ebenfalls ein Sicherheitsupdate im Status 'testing' in Form des Pakets 'libvorbis-1.3.6-1.fc27' zur Verfügung.

Schwachstellen:

CVE-2018-5146

Schwachstelle in Media Framework ermöglicht Ausführung beliebigen Programmcodes

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.