Bundesamt für Sicherheit in der Informationstechnik

CB-K17/1077 Update 1

Risikostufe 2

Titel:TNEF: Eine Schwachstelle ermöglicht u.a. einen Denial-of-Service-AngriffDatum:13.10.2017Software:TNEF < 1.4.15Plattform:Debian Linux 8.8 Jessie, Red Hat Fedora 25, Red Hat Fedora 26, Red Hat Fedora 27, Extra Packages for Red Hat Enterprise Linux 6, Extra Packages for Red Hat Enterprise Linux 7Auswirkung:Denial-of-ServiceRemoteangriff:JaRisiko:niedrigCVE Liste:CVE-2017-8911Bezug: Debian Security Advisory DSA-3869-1

Beschreibung

TNEF ist ein Werkzeug zum Entpacken von Microsoft MS-TNEF MIME Attachments des Typs "application/ms-tnef". Es arbeitet wie das Werkzeug TAR, entpackt jede Datei, die in ein MS-TNEF Attachment verpackt ist, und ist unter GNU General Public License Version 2.0 (GPLv2) verfügbar.

Ein entfernter nicht authentisierter Angreifer kann einen Email-Anhang so präparieren, dass beim Aufruf durch einen Benutzer von TNEF ungültige Schreiboperationen ausgelöst werden, durch die Speicher gezielt korrumpiert werden kann. Dadurch ist zumindest ein Denial-of-Service-Angriff möglich. Der Hersteller schließt die Schwachstelle mit Version 1.4.15 der Software. Debian stellt für die stabile Distribution Debian Jessie ein Backport-Sicherheitsupdate bereit.