[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[Fedora] Mehrere Schwachstelllen in Ghostscript - FEDORA-2010-11325

To: win-sec-ssc@xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
Subject: [Fedora] Mehrere Schwachstelllen in Ghostscript - FEDORA-2010-11325
From: WiN Site Security Contacts <win-sec-ssc@xxxxxxxxxxxxxxxxx>
Date: Tue, 17 Aug 2010 11:39:39 +0200 (CEST)

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Liebe Kolleginnen und Kollegen,

soeben erreichte uns nachfolgendes Fedora Security Advisory. Wir geben
diese Informationen unveraendert an Sie weiter.

CVE-2010-1628 - Stack Overflow Schwachstelle in Ghostscript

Ghostscript enthaelt eine Schwachstelle bei der Ausfuehrung von
Unterfunktionen, die zum Ueberschreiben von Speicherinhalten fuehren
kann, wenn ein rekursiver Funktionsaufruf sich unendlich oft wiederholt.
Dies fuehrt dazu, dass durch das wiederholte Ablegen von Parametern auf
dem Stack, dieser mit zunehmender Groesse andere Speicherinhalte
ueberschreibt.
Ein Angreifer kann diese Schwachstelle ausnutzen, um im schlimmsten
Fall beliebige Befehle mit den Rechten der Anwendung auszufuehren.

Betroffen sind die folgenden Software Pakete und Plattformen:

Paket ghostscript

Fedora 12
Fedora 13

Vom Hersteller werden ueberarbeitete Pakete zur Verfuegung gestellt.

(c) der deutschen Zusammenfassung bei DFN-CERT Services GmbH; die
Verbreitung, auch auszugsweise, ist nur unter Hinweis auf den Urheber,
DFN-CERT Services GmbH, und nur zu nicht kommerziellen Zwecken
gestattet.

Mit freundlichen Gruessen,
Detlev O. Matthies

- --

Detlev O. Matthies, M.Sc. (Incident Response Team)

DFN-CERT Services GmbH, https://www.dfn-cert.de, Phone +49 40 808077-590
Sitz / Register: Hamburg, AG Hamburg, HRB 88805, Ust-IdNr.: DE 232129737
Sachsenstrasse 5, 20097 Hamburg/Germany, CEO: Dr. Klaus-Peter Kossakowski

Automatische Warnmeldungen https://www.cert.dfn.de/autowarn

- --------------------------------------------------------------------------------
Fedora Update Notification
FEDORA-2010-11325
2010-07-23 01:55:43
- --------------------------------------------------------------------------------

Name : ghostscript
Product : Fedora 13
Version : 8.71
Release : 10.fc13
URL : http://www.ghostscript.com/
Summary : A PostScript interpreter and renderer
Description :
Ghostscript is a set of software that provides a PostScript
interpreter, a set of C procedures (the Ghostscript library, which
implements the graphics capabilities in the PostScript language) and
an interpreter for Portable Document Format (PDF) files. Ghostscript
translates PostScript code into many common, bitmapped formats, like
those understood by your printer or screen. Ghostscript is normally
used to display PostScript files and to print PostScript files to
non-PostScript printers.

If you need to display PostScript files or print them to
non-PostScript printers, you should install ghostscript. If you
install ghostscript, you also need to install the ghostscript-fonts
package.

- --------------------------------------------------------------------------------
Update Information:

This update fixes memory corruption when a PostScript stack overflow occurs
(CVE-2010-1628).
- --------------------------------------------------------------------------------
ChangeLog:

* Fri Jul 16 2010 Tim Waugh <twaugh@xxxxxxxxxx> 8.71-10
- - Applied patch to fix CVE-2010-1628 (memory corruption at PS stack
overflow, bug #592492).
- --------------------------------------------------------------------------------
References:

[ 1 ] Bug #592492 - CVE-2010-1628 ghostscript: internal stack overflow due to recursive calls
https://bugzilla.redhat.com/show_bug.cgi?id=592492
- --------------------------------------------------------------------------------

This update can be installed with the "yum" update program. Use
su -c 'yum update ghostscript' at the command line.
For more information, refer to "Managing Software with yum",
available at http://docs.fedoraproject.org/yum/.

All packages are signed with the Fedora Project GPG key. More details on the
GPG keys used by the Fedora Project can be found at
https://fedoraproject.org/keys
- --------------------------------------------------------------------------------

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v2.0.9 (GNU/Linux)

iEYEARECAAYFAkxqWNoACgkQWmhIvjFb90UfagCfcys05Nk0TN9z2kXtPuJKrSiN
HRcAnjuB6KzEwaotIEViwDFpQfPqESKj
=iC7k
-----END PGP SIGNATURE-----

Prev by Date: [Fedora] Schwachstelle in IPutils - FEDORA-2010-12252
Next by Date: [Mandriva] Mehrere Schwachstellen in der Bibliothek libmikmod - MDVSA-2010:151
Previous by thread: [Fedora] Schwachstelle in IPutils - FEDORA-2010-12252
Next by thread: [Mandriva] Mehrere Schwachstellen in der Bibliothek libmikmod - MDVSA-2010:151
Index(es):
- Date
- Thread