Open Source im professionellen Einsatz

UPDATE: DFN-CERT-2017-0764 Lynis: Eine Schwachstelle ermöglicht u.a. die Ausführung beliebigen Programmcodes [Linux][Fedora][SuSE]

19.06.2017

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 2 (19.06.2017):
Für openSUSE Leap 42.2 steht ein Sicherheitsupdate für 'lynis' auf Lynis
2.5.1 bereit, welches auch Änderungen aus Lynis 2.5.0, wie die Behebung
der Schwachstelle CVE-2017-8108, Lynis 2.4.8 (Changelog von 2.4.1) und
Lynis 2.4.0 beinhaltet.
Version 1 (04.05.2017):
Neues Advisory

Betroffene Software:

Lynis < 2.5.0


Betroffene Plattformen:

openSUSE Leap 42.2
Red Hat Fedora 24
Red Hat Fedora 25
Red Hat Fedora 26
Extra Packages for Red Hat Enterprise Linux 6
Extra Packages for Red Hat Enterprise Linux 7



Eine Schwachstelle in Lynis ermöglicht es einem lokalen, nicht
authentisierten Angreifer eine temporäre Datei zu ersetzen und mit einem
Symlink mit einer anderen Ressource zu verknüpfen, wodurch dieser in der
Lage ist Daten zu manipulieren oder auch beliebigen Programmcode zur
Ausführung zu bringen.

Der Hersteller veröffentlicht Lynis 2.5.0 als Sicherheitsupdate. Für Fedora
24, 25 und 26 sowie für Fedora EPEL 6 und 7 steht Lynis in dieser Version
als Sicherheitsupdate im Status 'pending' bereit.


Workaround:

Linux-Anwender können über 'sysctl' die Optionen 'fs.protected_hardlinks=1'
und 'fs.protected_symlinks=1' setzen, wodurch die Auswirkungen der
Schwachstelle reduziert werden.


Patch:

Cisofy Security Entry CVE-2017-8108

<https://cisofy.com/security/cve/cve-2017-8108/>

Patch:

Fedora Security Update FEDORA-2017-50b9370529 (Fedora 26, lynis-2.5.0-1)

<https://bodhi.fedoraproject.org/updates/FEDORA-2017-50b9370529>

Patch:

Fedora Security Update FEDORA-2017-8d625a8d2b (Fedora 25, lynis-2.5.0-1)

<https://bodhi.fedoraproject.org/updates/FEDORA-2017-8d625a8d2b>

Patch:

Fedora Security Update FEDORA-2017-c3ce061ea7 (Fedora 24, lynis-2.5.0-1)

<https://bodhi.fedoraproject.org/updates/FEDORA-2017-c3ce061ea7>

Patch:

Fedora Security Update FEDORA-EPEL-2017-0868b62cfe (Fedora EPEL 6,
lynis-2.5.0-1)

<https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2017-0868b62cfe>

Patch:

Fedora Security Update FEDORA-EPEL-2017-828e5e0986 (Fedora EPEL 7,
lynis-2.5.0-1)

<https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2017-828e5e0986>

Patch:

openSUSE Security Update openSUSE-SU-2017:1595-1

<http://lists.opensuse.org/opensuse-updates/2017-06/msg00062.html>


CVE-2017-8108: Schwachstelle in Lynis ermöglicht u.a. Ausführung beliebigen
Programmcodes

Durch die Wiederverwendung einer temporären Datei durch Tests in Lynis
besteht eine Schwachstelle, da diese von einigen Tests zwischenzeitlich
gelöscht wird. Dies schafft einem Angreifer ein geringes Zeitfenster, in dem
er die Datei ersetzen und durch eine symbolische Verknüpfung mit einer
anderen Ressource verknüpfen kann. Der Angreifer ist dadurch in der Lage,
Daten zu überschreiben oder beliebigen Programmcode zur Ausführung zu
bringen.


Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
<https://portal.cert.dfn.de/adv/DFN-CERT-2017-0764/>

Cisofy Security Entry CVE-2017-8108:
<https://cisofy.com/security/cve/cve-2017-8108/>

Fedora Security Update FEDORA-2017-50b9370529 (Fedora 26, lynis-2.5.0-1):
<https://bodhi.fedoraproject.org/updates/FEDORA-2017-50b9370529>

Fedora Security Update FEDORA-2017-8d625a8d2b (Fedora 25, lynis-2.5.0-1):
<https://bodhi.fedoraproject.org/updates/FEDORA-2017-8d625a8d2b>

Fedora Security Update FEDORA-2017-c3ce061ea7 (Fedora 24, lynis-2.5.0-1):
<https://bodhi.fedoraproject.org/updates/FEDORA-2017-c3ce061ea7>

Fedora Security Update FEDORA-EPEL-2017-0868b62cfe (Fedora EPEL 6,
lynis-2.5.0-1):
<https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2017-0868b62cfe>

Fedora Security Update FEDORA-EPEL-2017-828e5e0986 (Fedora EPEL 7,
lynis-2.5.0-1):
<https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2017-828e5e0986>

Schwachstelle CVE-2017-8108 (NVD):
<http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-8108>

openSUSE Security Update openSUSE-SU-2017:1595-1:
<http://lists.opensuse.org/opensuse-updates/2017-06/msg00062.html>


(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

Ausgabe 11/2017

Digitale Ausgabe: Preis € 6,40
(inkl. 19% MwSt.)

Stellenmarkt

Artikelserien und interessante Workshops aus dem Magazin können Sie hier als Bundle erwerben.