2019-0378: Simple DirectMedia Layer (SDL): Mehrere Schwachstellen ermöglichen verschiedene Denial-of-Service-Angriffe

Historie:

Version 1 (2019-02-22 11:31): Neues Advisory
Version 2 (2019-03-13 12:37): Für Fedora 28 und 29 stehen erneut Sicherheitsupdates für Simple DirectMedia Layer zur Verfügung. Die im Status 'testing' befindlichen Pakete 'SDL-1.2.15-32.fc28' und 'SDL-1.2.15-37.fc29' referenzieren erneut die Schwachstelle CVE-2019-7577 als behoben, die eigentlich auch mit den zuvor veröffentlichten Sicherheitsupdates adressiert wurde.
Version 3 (2019-03-13 20:13): Für Debian 8 Jessie (LTS) stehen Sicherheitsupdates in Form der Versionen 1.2.15-10+deb8u1 und 2.0.2+dfsg1-6+deb8u1 bereit, welche diese Schwachstellen beheben.
Version 4 (2019-04-01 11:39): SUSE veröffentlicht für die SUSE Linux Enterprise 11 SP4 Produktvarianten Debuginfo, Server und Software Development Kit Sicherheitsupdates für SDL, um die insgesamt elf aufgelisteten Schwachstellen zu beheben.
Version 5 (2019-04-08 18:53): Für die SUSE Linux Enterprise Produkte Software Development Kit, Server und Desktop jeweils in Version 12 SP3 und 12 SP4 stehen Sicherheitsupdates für 'SDL' bereit, welche die elf Schwachstellen beheben.
Version 6 (2019-04-10 11:19): Für das SUSE Linux Enterprise Module for Desktop Applications 15 steht zur Behebung der Schwachstellen ein Sicherheitsupdate für 'SDL' bereit.
Version 7 (2019-04-15 18:57): Für das SUSE Linux Enterprise Module for Desktop Applications 15 steht zur Behebung der Schwachstellen ein Sicherheitsupdate für 'SDL2' bereit.
Version 8 (2019-04-16 18:56): Für openSUSE Leap 42.3 steht zur Behebung der Schwachstellen ein Sicherheitsupdate für 'SDL' bereit.
Version 9 (2019-04-18 11:28): openSUSE veröffentlicht für openSUSE Leap 15.0 ein Sicherheitsupdate für SDL, um die aufgeführten Schwachstellen zu beheben.
Version 10 (2019-04-24 11:49): openSUSE veröffentlicht für openSUSE Leap 15.0 jetzt auch ein Sicherheitsupdate für 'SDL2', um die aufgeführten Schwachstellen zu beheben.
Version 11 (2019-06-24 13:29): Bei Behebung der Schwachstelle CVE-2019-7637 für die SUSE Linux Enterprise Module für Open Buildservice Development Tools 15 SP1 sowie für Desktop Applications 15 und 15 SP1 wurden die entsprechenden Modifikationen für SDL in SDL2-Programmcode übernommen, wodurch es u. a. zu Problemen bei Verwendung von 'SDL_GetWindowSurface()' gekommen ist. Mit einem neuen Sicherheitsupdate wird der bisherige Fix in 'SDL2' wieder rückgängig gemacht.
Version 12 (2019-10-17 15:34): Das Sicherheitsupdate DLA 1713-1 für libsdl1.2 hat zu einer Regression geführt, aufgrund einer unvollständigen Behebung der Schwachstelle CVE-2019-7637. Das Sicherheitsupdate DLA 1714-1 für libsdl2 hat zu mehreren Regressionen geführt, da libsdl1.2 Patches für CVE-2019-7637, CVE-2019-7635, CVE-2019-7638 und CVE-2019-7636 ohne Anpassungen auf libsdl2 angewandt wurden. Die Regressionen werden für Debian 8 Jessie (LTS) mit Paketversion 1.2.15-10+deb8u2 für libsdl1.2 und Paketversion 2.0.2+dfsg1-6+deb8u2 für libsdl2 behoben.
Version 13 (2020-09-30 17:35): Red Hat stellt für Red Hat Enterprise Linux 7 (Server, Workstation, Desktop und RHEL for Scientific Computing) Sicherheitsupdates für 'SDL' bereit, um die Schwachstellen zu beheben. Diese Updates werden im Zusammenhang mit der Veröffentlichung von Red Hat Enterprise Linux 7.9 zur Verfügung gestellt.
Version 14 (2020-10-07 12:36): Für Oracle Linux 7 (aarch64, x86_64) stehen Sicherheitsupdates für 'SDL' bereit, um die Schwachstellen zu beheben.
Version 15 (2020-11-04 19:38): Für Red Hat Enterprise Linux 8 stehen Sicherheitsupdates zur Behebung der Schwachstellen in 'SDL' bereit. Diese Updates werden im Zusammenhang mit der Veröffentlichung von Red Hat Enterprise Linux 8.3 zur Verfügung gestellt.

Betroffene Software

Systemsoftware

Betroffene Plattformen

Linux
Oracle

Beschreibung:

Mehrere Schwachstellen in SDL (Simple DirectMedia Layer) ermöglichen einem entfernten Angreifer die Durchführung von Denial-of-Service (DoS)-Angriffen und möglicherweise weitere, nicht näher spezifizierte Angriffe. Ein erfolgreicher Angriff erfordert jeweils die Interaktion eines Benutzers.

Für Fedora 28 und 29 stehen die Pakete 'SDL-1.2.15-31.fc28' und 'SDL-1.2.15-36.fc29' als Sicherheitsupdates im Status 'testing' zur Behebung der Schwachstellen bereit.

Schwachstellen:

CVE-2019-7572

Schwachstelle in SDL ermöglicht Denial-of-Service-Angriff

CVE-2019-7573

Schwachstelle in SDL ermöglicht Denial-of-Service-Angriff