DFN-CERT

Advisory-Archiv

2018-0834: LibRaw: Zwei Schwachstellen ermöglichen u.a. die Ausführung beliebigen Programmcodes

Historie:

Version 1 (2018-05-04 14:19)
Neues Advisory
Version 2 (2018-05-08 11:08)
Für Fedora 27 und 28 stehen Sicherheitsupdates in Form der Pakete 'mingw-LibRaw-0.18.10-1.fc27' und 'mingw-LibRaw-0.18.10-1.fc28' im Status 'testing' zur Behebung der Schwachstellen zu Verfügung.
Version 3 (2018-05-08 19:51)
Canonical stellt für Ubuntu 18.04 LTS, Ubuntu 17.10 und Ubuntu 16.04 LTS Backport-Sicherheitsupdates für LibRaw bereit, um diese Schwachstellen zu beheben.
Version 4 (2018-05-11 12:27)
Für Fedora 26, 27 und 28 stehen neue Sicherheitsupdates zur Behebung der Schwachstellen im Status 'testing' zur Verfügung. Fedora folgt damit den Herstellervorgaben und aktualisiert LibRaw auf die neue Version 0.18.11. Die bisherigen Sicherheitsupdates von Fedora befinden sich damit im Status 'obsolete' (Referenzen hier entfernt).

Betroffene Software

Systemsoftware

Betroffene Plattformen

Linux

Beschreibung:

Zwei Schwachstellen in LibRaw 0.18.9 ermöglichen einem entfernten, nicht authentisierten Angreifer die Durchführung von Denial-of-Service (DoS)-Angriffen und möglicherweise auch die Ausführung beliebigen Programmcodes.

Der Hersteller hat diese Schwachstellen in LibRaw 0.18.10 behoben.

Für openSUSE Leap 42.3 steht ein Backport-Sicherheitsupdate zur Behebung der beiden Schwachstellen zur Verfügung.

Für Fedora 26, 27 und 28 stehen Sicherheitsupdates in Form der Pakete 'LibRaw-0.18.10-1.fc26', 'LibRaw-0.18.10-1.fc27' und 'LibRaw-0.18.10-1.fc28' zur Behebung der Schwachstellen zu Verfügung, welche sich derzeit noch im Status 'pending' befinden.

Schwachstellen:

CVE-2018-10528

Schwachstelle in LibRaw ermöglicht Ausführung beliebigen Programmcodes

CVE-2018-10529

Schwachstelle in LibRaw ermöglicht Denial-of-Service-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.