[Sec-cert] UPDATE: DFN-CERT-2014-0022 libXfont: Eine Schwachstelle ermöglicht das Erlangen von Administratorrechten [Linux][Debian][Fedora][RedHat][SuSE][Unix][NetBSD][OpenBSD]

portal at dfn-cert.de portal at dfn-cert.de
Do Feb 13 13:55:02 CET 2014


Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
  Version 6 (13.02.2014):
    SUSE stellt Sicherheitsupdates für SUSE Linux Enterprise Software
    Development Kit 11 SP2 und SP3, SUSE Linux Enterprise Server 11 SP2 und
    SP3 inklusive VMware Variante sowie SUSE Linux Enterprise Desktop 11 SP2
    und SP3 bereit.
  Version 5 (16.01.2014):
    openSUSE stellt nun für die Versionen 11.4, 12.2, 12.3 und 13.1 ebenfalls
    Sicherheitsupdates zur Verfügung. 
  Version 4 (14.01.2014):
    Es wurden Sicherheitsupdates für openBSD veröffentlicht.
  Version 3 (10.01.2014):
    Patches für Red Hat Enterprise Linux 5 und 6 werden zur Verfügung
    gestellt.
  Version 2 (09.01.2014):
    Patches für Fedora 19 und 20 werden zur Verfügung gestellt.
  Version 1 (08.01.2014):
    Neues Advisory

Betroffene Software:

  libXfont <= 1.4.6
  

Betroffene Plattformen:

  Novell SUSE Software Development Kit  11 SP2 Enterprise
  Novell SUSE Software Development Kit  11 SP3 Enterprise
  Canonical Ubuntu Linux 10.04 Lts
  Canonical Ubuntu Linux 12.04 Lts
  Canonical Ubuntu Linux 12.10
  Canonical Ubuntu Linux 13.04
  Canonical Ubuntu Linux 13.10
  Debian Linux 6.0.8 Squeeze
  Debian Linux 7.3 Wheezy
  NetBSD 5.1.2
  NetBSD 5.2
  NetBSD 6.0.2
  NetBSD 6.1
  openSUSE 11.4
  openSUSE 12.2
  openSUSE 12.3
  openSUSE 13.1
  Novell SUSE Linux Enterprise Desktop 11 SP2
  Novell SUSE Linux Enterprise Desktop 11 SP3
  Novell SUSE Linux Enterprise Server 11 SP2
  Novell SUSE Linux Enterprise Server 11 SP2 VMware
  Novell SUSE Linux Enterprise Server 11 SP3
  Novell SUSE Linux Enterprise Server 11 SP3 VMware
  OpenBSD 5.3
  OpenBSD 5.4
  Red Hat Enterprise Linux 5 Server
  Red Hat Enterprise Linux 6 Server
  Red Hat Enterprise Linux 6 Workstation
  Red Hat Enterprise Linux Desktop 5 Client
  Red Hat Enterprise Linux Desktop 5 Workstation/Client
  Red Hat Enterprise Linux Desktop 6.0
  Red Hat Fedora 19
  Red Hat Fedora 20
  


Eine Schwachstelle in der Bibliothek libXfont ermöglicht es einem
entfernten, nicht authentifizierten Angreifer einen
Denial-of-Service-Angriff durchzuführen oder beliebige Befehle als
Administrator auszuführen.


Patch:

  Debian Security Advisory DSA-2838

  <http://www.debian.org/security/2014/dsa-2838>

Patch:

  Ubuntu Security Notice USN-2078-1

  <http://www.ubuntu.com/usn/usn-2078-1/>

Patch:

  NetBSD Hersteller-Advisory SA2014-001

  <http://ftp.NetBSD.org/pub/NetBSD/security/advisories/NetBSD-SA2014-001.txt.asc>

Patch:

  Fedora Update FEDORA-2014-0467

  <https://admin.fedoraproject.org/updates/FEDORA-2014-0467/libXfont-1.4.5-5.fc19>

Patch:

  Fedora Update FEDORA-2014-0443

  <https://admin.fedoraproject.org/updates/FEDORA-2014-0443/libXfont-1.4.7-1.fc20>

Patch:

  Red Hat Update RHSA-2014-0018-1

  <http://rhn.redhat.com/errata/RHSA-2014-0018.html>

Patch:

  OpenBSD 5.3 Patch libXfont 

  <http://ftp.openbsd.org/pub/OpenBSD/patches/5.3/common/013_libXfont.patch>

Patch:

  OpenBSD 5.4 Patch libXfont 

  <http://ftp.openbsd.org/pub/OpenBSD/patches/5.4/common/006_libXfont.patch>

Patch:

  openSUSE Security Update: openSUSE-SU-2014:0073-1

  <http://lists.opensuse.org/opensuse-updates/2014-01/msg00050.html>

Patch:

  openSUSE Security Update: openSUSE-SU-2014:0075-1

  <http://lists.opensuse.org/opensuse-updates/2014-01/msg00052.html>

Patch:

  SUSE Security Update SUSE-SU-2014:0219-1

  <https://www.suse.com/support/update/announcement/2014/suse-su-20140219-1.html>


CVE-2013-6462: Schwachstelle in der libXfont

  Eine Schwachstelle in der libXfont führt dazu, dass Glyph Bitmap
  Distribution Format (BDF) Font Dateien nicht korrekt verarbeitet werden und
  einen Stack-Speicher-Überlauf auslösen.
  Ein entfernter, nicht authentifizierter Angreifer kann durch präparierte
  Glyph Bitmap Distribution Format (BDF) Dateien einen
  Denial-of-Service-Angriff durchführen oder beliebige Befehle mit
  Administrationsrechten ausführen.


Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
  <https://portal.cert.dfn.de/adv/DFN-CERT-2014-0022/>

Debian Security Advisory DSA-2838:
  <http://www.debian.org/security/2014/dsa-2838>

Ubuntu Security Notice USN-2078-1:
  <http://www.ubuntu.com/usn/usn-2078-1/>

NetBSD Hersteller-Advisory SA2014-001:
  <http://ftp.NetBSD.org/pub/NetBSD/security/advisories/NetBSD-SA2014-001.txt.asc>

Schwachstelle CVE-2013-6462 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-6462>

Fedora Update FEDORA-2014-0467:
  <https://admin.fedoraproject.org/updates/FEDORA-2014-0467/libXfont-1.4.5-5.fc19>

Fedora Update FEDORA-2014-0443:
  <https://admin.fedoraproject.org/updates/FEDORA-2014-0443/libXfont-1.4.7-1.fc20>

Red Hat Update RHSA-2014-0018-1:
  <http://rhn.redhat.com/errata/RHSA-2014-0018.html>

OpenBSD 5.3 Patch libXfont :
  <http://ftp.openbsd.org/pub/OpenBSD/patches/5.3/common/013_libXfont.patch>

OpenBSD 5.4 Patch libXfont :
  <http://ftp.openbsd.org/pub/OpenBSD/patches/5.4/common/006_libXfont.patch>

openSUSE Security Update: openSUSE-SU-2014:0073-1:
  <http://lists.opensuse.org/opensuse-updates/2014-01/msg00050.html>

openSUSE Security Update: openSUSE-SU-2014:0075-1:
  <http://lists.opensuse.org/opensuse-updates/2014-01/msg00052.html>

SUSE Security Update SUSE-SU-2014:0219-1:
  <https://www.suse.com/support/update/announcement/2014/suse-su-20140219-1.html>


(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : smime.p7s
Dateityp    : application/pkcs7-signature
Dateigröße  : 4335 bytes
Beschreibung: nicht verfügbar
URL         : <https://listserv.uni-hohenheim.de/pipermail/sec-cert/attachments/20140213/173474b5/attachment.p7s>


Mehr Informationen über die Mailingliste Sec-cert