DFN-CERT Portal

Schwachstellen

DFN-CERT-2017-2005: bchunk: Mehrere Schwachstellen ermöglichen u.a. verschiedene Denial-of-Service-Angriffe

Historie

Version 1 (2017-11-10 16:13)
Neues Advisory

Betroffene Software

bchunk 1.2.0
bchunk 1.2.1

Betroffene Plattformen

Debian Linux 8.9 Jessie
Debian Linux 9.2 Stretch

Lösung

Patch

Debian Security Advisory DSA-4026-1

Beschreibung

Ein entfernter, nicht authentisierter Angreifer kann mehrere Schwachstellen in bchunk ausnutzen, um mit Hilfe speziell präparierter 'CUE'-Dateien Denial-of-Service-Angriffe auszuführen. Eine der Schwachstellen lässt sich möglicherweise zur Ausführung beliebigen Programmcodes einsetzen.

Für Debian Jessie und Stretch stehen Sicherheitsudpates für bchunk zur Verfügung.

Schwachstellen

CVE-2017-15955: Schwachstelle in bchunk ermöglicht. Denial-of-Service-Angriff

Bei Verarbeitung einer speziell formatierten 'CUE'-Datei mit bchunk 1.2.0 und 1.2.1 kann es zu einer Zugriffsverletzung kommen. Ein entfernter, nicht authentisierter Angreifer kann dadurch einen Denial-of-Service-Angriff ausführen.

CVE-2017-15954: Schwachstelle in bchunk ermöglicht Denial-of-Service-Angriff

Bei Verarbeitung einer speziell formatierten 'CUE'-Datei mit bchunk 1.2.0 und 1.2.1 kann es zu einem Heap-basierten Pufferüberlauf und in der Folge zu einer ungültigen Speicherfreigabe (Invalid Free) kommen. Ein entfernter, nicht authentisierter Angreifer kann dadurch einen Denial-of-Service-Angriff ausführen.

CVE-2017-15953: Schwachstelle in bchunk ermöglicht u.a. Denial-of-Service-Angriff

Bei Verarbeitung einer speziell formatierten 'CUE'-Datei mit bchunk 1.2.0 und 1.2.1 kann es zu einem Heap-basierten Pufferüberlauf kommen. Ein entfernter, nicht authentisierter Angreifer kann dadurch einen Denial-of-Service-Angriff ausführen und möglicherweise beliebigen Programmcode zur Ausführung bringen.

Referenzen

© DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf des schriftlichen Einverständnisses des Rechteinhabers.