[Sec-cert] UPDATE: DFN-CERT-2013-1997 Bibliothek librsvg2: Eine Schwachstelle ermöglicht das Ausspähen von Informationen [Linux][RedHat][SuSE]

portal at dfn-cert.de portal at dfn-cert.de
Di Feb 4 16:25:02 CET 2014


Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
  Version 2 (04.02.2014):
    Der Hersteller stellt Sicherheitsupdates für Red Hat Enterprise Linux 6
    zur Verfügung.
  Version 1 (02.12.2013):
    Neues Advisory

Betroffene Software:

  librsvg <= 2.38.0
  

Betroffene Plattformen:

  openSUSE <= 12.2
  openSUSE <= 12.3
  Red Hat Enterprise Linux 6 Server
  Red Hat Enterprise Linux 6 Workstation
  RedHat Enterprise Linux Desktop 6.0
  RedHat Enterprise Linux HPC Node 6
  


Ein entfernter, nicht authentifizierter Angreifer kann diese Schwachstelle
ausnutzen, um Informationen auszuspähen.


Patch:

  openSUSE Security Update openSUSE-SU-2013:1786-1

  <http://lists.opensuse.org/opensuse-updates/2013-11/msg00114.html>

Patch:

  Red Hat Security Advisory RHSA-2014:0127

  <http://rhn.redhat.com/errata/RHSA-2014-0127.html>


CVE-2013-1881: Schwachstelle in librsvg2

  Eine Schwachstelle in der librsvg2 im Zusammenspiel mit dem gnome-vfs kann
  zum Zugriff auf den Inhalt lokaler Quellen führen. Ein entfernter, nicht
  authentifizierter Angreifer kann durch eine präparierte SVG-Datei den Inhalt
  lokaler Quellen zugesandt bekommen, wenn ein Benutzer die Datei öffnet oder
  den Inhalt eines Verzeichnisses ansieht in dem die präparierte Datei liegt.


Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
  <https://portal.cert.dfn.de/adv/DFN-CERT-2013-1997/>

Schwachstelle CVE-2013-1881 (Red Hat):
  <https://access.redhat.com/security/cve/CVE-2013-1881>

Schwachstelle CVE-2013-1881 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-1881>

openSUSE Security Update openSUSE-SU-2013:1786-1:
  <http://lists.opensuse.org/opensuse-updates/2013-11/msg00114.html>

https://bugzilla.gnome.org/show_bug.cgi?id=691708:
  <https://bugzilla.gnome.org/show_bug.cgi?id=691708>

Red Hat Security Advisory RHSA-2014:0127:
  <http://rhn.redhat.com/errata/RHSA-2014-0127.html>


(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : smime.p7s
Dateityp    : application/pkcs7-signature
Dateigröße  : 4335 bytes
Beschreibung: nicht verfügbar
URL         : <https://listserv.uni-hohenheim.de/pipermail/sec-cert/attachments/20140204/66d97525/attachment.p7s>


Mehr Informationen über die Mailingliste Sec-cert