Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Historie:
Version 6 (25.09.2014):
Für die Distribution Fedora 19 steht ein weiteres Sicherheitsupdate zur
Verfügung.
Version 5 (21.08.2014):
RedHat hat Sicherheitspatches für die Distributionen Fedora 19 und 20
veröffentlicht.
Version 4 (11.08.2014):
Neues Advisory
Version 3 (11.08.2014):
Für openSUSE 13.1 steht ein Sicherheitsupdate bereit.
Version 2 (01.08.2014):
Für Ubuntu 12.04 LTS und 14.04 LTS stehen aktualisierte Pakete von
kdelibs5-plugins als Patch zur Verfügung.
Version 1 (31.07.2014):
Neues Advisory
Betroffene Software:
kdelibs <= 4.8.5 kdelibs <= 4.13.2 Betroffene Plattformen: Canonical Ubuntu Linux 12.04 Lts Canonical Ubuntu Linux 14.04 Lts Debian Linux 7.6 Wheezy Debian Linux 8.0 Jessie GNU/Linux openSUSE 13.1 Red Hat Fedora 19 Red Hat Fedora 20 Eine Schwachstelle in den KDE-Bibliotheken ermöglicht einem lokalen, nicht authentisierten Angreifer das Ausführen von beliebigem Programmcode. Für die KDE-Bibliotheken stehen kdelibs-4.14, sowie kauth-5.1 als Patch zur Verfügung. Patch: KDE Project Security Advisory KDE-advisory-20140730-1 http://kde.org/info/security/advisory-20140730-1.txt
Patch:
Ubuntu Security Advisory USN-2304-1
http://www.ubuntu.com/usn/usn-2304-1/
Patch:
Debian Security Advisory DSA-3004-1
https://www.debian.org/security/2014/dsa-3004
Patch:
openSUSE Security Update openSUSE-SU-2014:0981-1
http://lists.opensuse.org/opensuse-updates/2014-08/msg00012.html
Patch:
Fedora Security Update FEDORA-2014-9602
https://admin.fedoraproject.org/updates/FEDORA-2014-9602/polkit-qt-0.112.0-1.fc19
Patch:
Fedora Security Update FEDORA-2014-9641
https://admin.fedoraproject.org/updates/FEDORA-2014-9641/polkit-qt-0.112.0-1.fc20
Patch:
Fedora Security Update FEDORA-2014-11348
https://admin.fedoraproject.org/updates/FEDORA-2014-11348/kdelibs-4.11.5-5.fc19
CVE-2014-5033: Schwachstelle in KDE-Bibliotheken erlaubt das Ausführen von
beliebigem Programmcode mit Administratorrechten
Das Authentisierungsframework (KAuth) von KDE verwendet die polkit API,
welche auf Basis einer PID authentisiert. Hier existiert aufgrund einer
Anfälligkeit für eine Race Condition (Wettlaufsituation) eine Schwachstelle.
Ein lokaler, nicht authentisierter Angreifer kann diese Schwachstelle zum
Ausführen von beliebigen Programmcode mit Administratorrechten ausnutzen.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-0981/
KDE Project Security Advisory KDE-advisory-20140730-1:
http://kde.org/info/security/advisory-20140730-1.txt
Schwachstelle CVE-2014-5033 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-5033
Ubuntu Security Advisory USN-2304-1:
http://www.ubuntu.com/usn/usn-2304-1/
Debian Security Advisory DSA-3004-1:
https://www.debian.org/security/2014/dsa-3004
openSUSE Security Update openSUSE-SU-2014:0981-1:
http://lists.opensuse.org/opensuse-updates/2014-08/msg00012.html
Fedora Security Update FEDORA-2014-9602:
https://admin.fedoraproject.org/updates/FEDORA-2014-9602/polkit-qt-0.112.0-1.fc19
Fedora Security Update FEDORA-2014-9641:
https://admin.fedoraproject.org/updates/FEDORA-2014-9641/polkit-qt-0.112.0-1.fc20
Fedora Security Update FEDORA-2014-11348:
https://admin.fedoraproject.org/updates/FEDORA-2014-11348/kdelibs-4.11.5-5.fc19
(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.
