CVE lesen und verstehen: am Beispiel von Gimp

Wenn Euch jemand den Ihr nicht kennt, eine ICO Datei schickt ( u.a. zusammen mit anderen Bilddaten z.b. ),
dann stellt sicher, daß Ihr die neueste GIMP Version habt/benutzt :

 
Schwachstelle CVE-2007-3126 :

 <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2007-3126>


CVE-2007-3126: Schwachstelle in Gimp ermöglicht Denial-of-Service-Angriff

  Gimp kann in Version 2.3.14 durch eine ICO-Datei mit einem InfoHeader, der
  'Height' mit Null angibt, zum Absturz gebracht werden.

Wer sich jetzt mit CVE Nummern auskennt, wird merken, daß da immer die Jahreszahl drinsteht, wo die Schwachstelle gemeldet wurde, hier ist das 2007 ! Also 10 Jahre her.

Ich hab jetzt mal geprüft, was fürn Gimp ich habe, und das ist 2.8.20-1 🙂 Also irgendwas ist komisch :=)

Die Meldung kam im original von Suse :

Security Bulletin von Suse April 2017

und die haben das hier behoben:

   - bsc#1025717: Prefer lcms2 over lcms1 if both are available
   - bgo#593576: Preven crash in PDF Import filter when importing large image
     PDF or specifying high resolution

und im Zuge dieser Änderung haben die dann auch endlich die obige Schwachstelle behoben und daher wurde das zum Aufmacher der Meldung 🙂

Marius Welt

CVE lesen und verstehen: am Beispiel von Gimp

Related