UPDATE: DFN-CERT-2016-1039 Apache PDFBox: Eine Schwachstelle ermöglicht das Ausspähen von Informationen [Linux][Debian][Fedora]

DFN-CERT portal at dfn-cert.de
Wed Jul 6 09:10:02 CEST 2016


Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
  Version 2 (06.07.2016):
    Für Fedora 23 und 24 stehen Backport-Sicherheitsupdates für PDFBox bereit.
    Das Paket pdfbox-1.8.8-6.fc23 für Fedora 23 befindet sich im Status
    'testing', das Paket pdfbox-1.8.11-2.fc24 für Fedora 24 hat noch den
    Status 'pending'.
  Version 1 (27.06.2016):
    Neues Advisory

Betroffene Software:

  Apache PDFBox >= 1.8.0
  Apache PDFBox <= 1.8.11
  Apache PDFBox 2.0.0
  

Betroffene Plattformen:

  Debian Linux 8.4 Jessie
  Debian Linux 9.0 Stretch
  Red Hat Fedora 23
  Red Hat Fedora 24
  


Ein entfernter, nicht authentifizierter Angreifer kann mit Hilfe eines
speziell präparierten PDF-Dokuments einen XML External Entity-Angriff (XXE)
auf Apache PDFBox ausführen und dadurch Informationen ausspähen und
möglicherweise weitere Angriffe durchführen.

Apache PDFBox ist in den Versionen 1.8.0 - 1.8.11 und 2.0.0 von der
Schwachstelle betroffen. Möglicherweise sind auch ältere Versionen, die
nicht mehr unterstützt werden, verwundbar. Debian stellt für die
Distributionen Jessie (stable) und Stretch (testing)
Backport-Sicherheitsupdates bereit.


Patch:

  Debian Security Advisory DSA-3606-1

  <https://www.debian.org/security/2016/dsa-3606>

Patch:

  Fedora Security Update FEDORA-2016-3f30a5faeb (Fedora 23)

  <https://bodhi.fedoraproject.org/updates/FEDORA-2016-3f30a5faeb>

Patch:

  Fedora Security Update FEDORA-2016-a07cf79284 (Fedora 24)

  <https://bodhi.fedoraproject.org/updates/FEDORA-2016-a07cf79284>


CVE-2016-2175: Schwachstelle in Apache PDFbox ermöglicht Ausspähen von
  Informationen

  Apache PDFBox verarbeitet in PDF-Dateien eingebettete XML-Daten und
  akzeptiert dabei auch Daten aus entfernten Quellen. Dadurch sind XML
  External Entity (XXE)-Angriffe möglich.


Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
  <https://portal.cert.dfn.de/adv/DFN-CERT-2016-1039/>

Schwachstelle CVE-2016-2175 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-2175>

Debian Security Advisory DSA-3606-1:
  <https://www.debian.org/security/2016/dsa-3606>

Fedora Security Update FEDORA-2016-3f30a5faeb (Fedora 23):
  <https://bodhi.fedoraproject.org/updates/FEDORA-2016-3f30a5faeb>

Fedora Security Update FEDORA-2016-a07cf79284 (Fedora 24):
  <https://bodhi.fedoraproject.org/updates/FEDORA-2016-a07cf79284>


(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.
-------------- next part --------------
A non-text attachment was scrubbed...
Name: smime.p7s
Type: application/pkcs7-signature
Size: 4686 bytes
Desc: not available
URL: <https://lists.cert.uni-stuttgart.de/pipermail/security-announce/attachments/20160706/f73edb0b/attachment.bin>


More information about the Security-Announce mailing list