DFN-CERT

Advisory-Archiv

2024-0691: FontForge: Zwei Schwachstellen ermöglichen das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2024-03-13 17:01)
Neues Advisory
Version 2 (2024-03-20 08:08)
Für Debian 11 Bullseye (oldstable) steht Version 1:20201107~dfsg-4+deb11u1 und für Debian 12 Bookworm (stable) steht Version 1:20230101~dfsg-1.1~deb12u1 von 'fontforge' als Sicherheitsupdate bereit, um die beiden Schwachstellen zu beheben.
Version 3 (2024-06-27 18:51)
Canonical stellt für Ubuntu 23.10, Ubuntu 22.04 LTS, Ubuntu 20.04 LTS, Ubuntu 18.04 ESM und Ubuntu 16.04 ESM Sicherheitsupdates für das Paket 'fontforge' bereit, um die beiden Schwachstellen zu beheben.
Version 4 (2024-07-03 15:59)
Für Red Hat CodeReady Linux Builder 8 (x86_64, aarch64) stehen Sicherheitsupdates für 'fontforge' bereit, um die Schwachstellen zu beheben.
Version 5 (2024-11-13 07:41)
Für Red Hat CodeReady Linux Builder for x86_64 / ARM 64 9 (x86_64, aarch64) stehen Sicherheitsupdates für 'fontforge' bereit, um die Schwachstellen zu beheben. Die Sicherheitsupdates werden im Kontext des Red Hat Enterprise Linux 9.5 Releases veröffentlicht.

Betroffene Software

Entwicklung
Office

Betroffene Plattformen

Linux

Beschreibung:

Ein Angreifer kann zwei Schwachstellen lokal ausnutzen, um beliebigen Programmcode auszuführen.

Für die Ausnutzung der Schwachstellen sind übliche Privilegien erforderlich. Beide Schwachstellen erfordern die Interaktion eines Benutzers.

Für SUSE Linux Enterprise 12 SP5 in den Varianten High Performance Computing, Server, Server for SAP Applications und Software Development Kit, Desktop Applications Module 15 SP5, openSUSE Leap 15.5, SUSE Enterprise Storage 7.1, SUSE Linux Enterprise Desktop 15 SP4 LTSS und SP5, SUSE Linux Enterprise Real Time 15 SP5 sowie SUSE Linux Enterprise 15 SP2 bis SP5 in den Varianten High Performance Computing, Server und Server for SAP Applications stehen Sicherheitsupdates für 'FontForge' bereit, um die Schwachstellen zu beheben.

Schwachstellen:

CVE-2024-25081

Schwachstelle in FontForge ermöglicht Ausführen beliebigen Programmcodes

CVE-2024-25082

Schwachstelle in FontForge ermöglicht Ausführen beliebigen Programmcodes

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.