2021-0196: Simple DirectMedia Layer (SDL): Zwei Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2021-01-29 10:52)

Neues Advisory

Version 2 (2021-02-02 09:28)

Für Fedora EPEL 7 steht ein Sicherheitsupdate in Form des Pakets 'SDL2-2.0.14-2.el7' im Status 'testing' bereit, um die Schwachstelle CVE-2020-14409 zu beheben.

Version 3 (2022-01-18 17:52)

Für die Distribution openSUSE Leap 15.3 sowie für SUSE Manager Server, Retail Branch Server und Proxy jeweils in Version 4.1, SUSE Linux Enterprise Server for SAP 15 SP2, SUSE Linux Enterprise Server 15 SP2 BCL / LTSS, SUSE Linux Enterprise Module for Packagehub Subpackages 15 SP3, SUSE Linux Enterprise Module for Desktop Applications 15 SP3, SUSE Linux Enterprise High Performance Computing 15 SP2 ESPOS / LTSS und SUSE Enterprise Storage 7 stehen Sicherheitsupdates für 'SDL2' bereit, um die beiden Schwachstellen zu beheben.

Version 4 (2022-02-14 17:11)

Für die Distribution openSUSE Leap 15.4 und für SUSE Linux Enterprise Realtime Extension 15 SP2 stehen Sicherheitsupdates für 'SDL2' zur Behebung der Schwachstellen bereit.

Version 5 (2022-03-15 08:51)

Für SUSE CaaS Platform 4.0, SUSE Enterprise Storage 6, SUSE Linux Enterprise High Performance Computing 15 ESPOS / LTSS und 15 SP1 ESPOS / LTSS, SUSE Linux Enterprise Server 15 LTSS und 15 SP1 BCL / LTSS sowie SUSE Linux Enterprise Server for SAP 15 und 15 SP1 stehen Sicherheitsupdates für 'SDL2' bereit, um die beiden Schwachstellen zu beheben.

Version 6 (2022-04-07 13:04)

Für openSUSE Leap 15.3 steht ein Sicherheitsupdate für 'SDL2' zur Behebung der beiden Schwachstellen CVE-2020-14409 und CVE-2020-14410 bereit. Mit demselben Advisory referenziert openSUSE auch ein Update für openSUSE Backports SLE 15 SP3 zur Behebung der Schwachstelle CVE-2022-27227 in 'pdns' (siehe dazu gesonderte Meldung).

Betroffene Software

Systemsoftware

Betroffene Plattformen

Cloud
Linux

Beschreibung:

Ein Angreifer kann zwei Schwachstellen lokal ausnutzen, um beliebigen Programmcode auszuführen und einen Denial-of-Service (DoS)-Angriff durchzuführen. Beide Schwachstellen erfordern die Interaktion eines Benutzers.

Fedora stellt für Fedora 33 ein Backport-Sicherheitsupdate in Form des Pakets 'mingw-SDL2-2.0.12-3.fc33' zur Behebung der Schwachstellen bereit. Das Sicherheitsupdate befindet sich derzeit im Status 'testing'.

Schwachstellen:

CVE-2020-14409

Schwachstelle in Simple DirectMedia Layer (SDL) ermöglicht Ausführen beliebigen Programmcodes

CVE-2020-14410

Schwachstelle in Simple DirectMedia Layer (SDL) ermöglicht u. a. Denial-of-Service-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.