DFN-CERT-2014-1004 Puppet: Mehrere Schwachstellen ermöglichen unter anderem das Ausführen beliebigen Programmcodes [Linux][SuSE]

DFN-CERT-2014-1004 Puppet: Mehrere Schwachstellen ermöglichen unter anderem das Ausführen beliebigen Programmcodes [Linux][SuSE]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Puppet

Betroffene Plattformen:

SUSE Linux Enterprise Desktop 11 SP3
SUSE Linux Enterprise Server 11 SP3
SUSE Linux Enterprise Server 11 SP3 VMware

Durch Ausnutzen dieser Schwachstellen kann ein lokal angemeldeter Benutzer,
als Angreifer, beliebigen Programmcode durch einen anderen Benutzer mit
dessen Rechten ausführen lassen oder beliebige Dateien überschreiben.

Patch:

SUSE Security Update: SUSE-SU-2014:0880-1

https://www.suse.com/support/update/announcement/2014/suse-su-20140880-1.html

CVE-2014-3250: Schwachstelle erlaubt Ausführen beliebigen Programmcodes

Eine nicht näher spezifizierte Schwachstelle erlaubt einem lokalen,
angemeldeten Benutzer, als Angreifer, unter Einsatz von “Social
Engineering”, einen anderen Benutzer dazu zu bringen, beliebigen
Programmcode mit dessen Rechten auszuführen.

CVE-2014-3248: LOAD_PATH enthält aktuelles Verzeichnis

Der Pfad für die Ruby-spezifische Variable LOAD_PATH enthält das aktuelle
Verzeichnis ‘.’. Hierdurch kann ein Benutzer ein von einem Angreifer dort
platziertes Ruby-Modul versehentlich laden. Ein lokal angemeldeter Benutzer,
als Angreifer, kann durch Manipulation eines anderen Benutzers erreichen,
dass beliebiger Programmcode mit dessen Rechten ausgeführt wird. Hat dieser
andere Benutzer höhere Privilegien, erhält auch der Angreifer diese Rechte.

CVE-2013-4969: Schwachstelle in Puppet erlaubt unsicheres Erzeugen
temporärer Dateien

Eine Schwachstelle in Puppet führt dazu, dass temporäre Dateien nicht sicher
angelegt werden. Ein lokaler, angemeldeter Benutzer, als Angreifer, kann
durch das Setzen eines symbolischen Links nicht näher spezifizierte Dateien
überschreiben.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-1004/

Schwachstelle CVE-2013-4969 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-4969

Schwachstelle CVE-2014-3248 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3248

SUSE Security Update: SUSE-SU-2014:0880-1:
https://www.suse.com/support/update/announcement/2014/suse-su-20140880-1.html

Schwachstelle CVE-2014-3250 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3250

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.

DFN-CERT-2014-1004 Puppet: Mehrere Schwachstellen ermöglichen unter anderem das Ausführen beliebigen Programmcodes [Linux][SuSE]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Puppet

Betroffene Plattformen:

SUSE Linux Enterprise Desktop 11 SP3
SUSE Linux Enterprise Server 11 SP3
SUSE Linux Enterprise Server 11 SP3 VMware

Durch Ausnutzen dieser Schwachstellen kann ein lokal angemeldeter Benutzer,
als Angreifer, beliebigen Programmcode durch einen anderen Benutzer mit
dessen Rechten ausführen lassen oder beliebige Dateien überschreiben.

Patch:

SUSE Security Update: SUSE-SU-2014:0880-1

https://www.suse.com/support/update/announcement/2014/suse-su-20140880-1.html

CVE-2014-3250: Schwachstelle erlaubt Ausführen beliebigen Programmcodes

Eine nicht näher spezifizierte Schwachstelle erlaubt einem lokalen,
angemeldeten Benutzer, als Angreifer, unter Einsatz von “Social
Engineering”, einen anderen Benutzer dazu zu bringen, beliebigen
Programmcode mit dessen Rechten auszuführen.

CVE-2014-3248: LOAD_PATH enthält aktuelles Verzeichnis

Der Pfad für die Ruby-spezifische Variable LOAD_PATH enthält das aktuelle
Verzeichnis ‘.’. Hierdurch kann ein Benutzer ein von einem Angreifer dort
platziertes Ruby-Modul versehentlich laden. Ein lokal angemeldeter Benutzer,
als Angreifer, kann durch Manipulation eines anderen Benutzers erreichen,
dass beliebiger Programmcode mit dessen Rechten ausgeführt wird. Hat dieser
andere Benutzer höhere Privilegien, erhält auch der Angreifer diese Rechte.

CVE-2013-4969: Schwachstelle in Puppet erlaubt unsicheres Erzeugen
temporärer Dateien

Eine Schwachstelle in Puppet führt dazu, dass temporäre Dateien nicht sicher
angelegt werden. Ein lokaler, angemeldeter Benutzer, als Angreifer, kann
durch das Setzen eines symbolischen Links nicht näher spezifizierte Dateien
überschreiben.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-1004/

Schwachstelle CVE-2013-4969 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-4969

Schwachstelle CVE-2014-3248 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3248

SUSE Security Update: SUSE-SU-2014:0880-1:
https://www.suse.com/support/update/announcement/2014/suse-su-20140880-1.html

Schwachstelle CVE-2014-3250 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3250

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.

© COMPUTEC MEDIA GmbH
Nach oben