DFN-CERT-2014-1312 Ubuntu, Debian: Eine Schwachstelle ermöglicht das unsichere Erzeugen von temporären Dateien [Linux][Debian]

DFN-CERT-2014-1312 Ubuntu, Debian: Eine Schwachstelle ermöglicht das unsichere Erzeugen von temporären Dateien [Linux][Debian]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Canonical Ubuntu Linux 12.04 Lts
Canonical Ubuntu Linux 14.04 Lts
Debian Linux 7.6 Wheezy

Betroffene Plattformen:

Canonical Ubuntu Linux
Debian Linux

Eine Schwachstelle in APT bei der Behandlung des Changelog Kommando
ermöglicht es einem lokalen Angreifer, beliebige Dateien zu überschreiben.
In der Standard-Installation von Debian wird dies durch die Kernel Link
Beschränkungen (fs.protected_symlinks) verhindert.

Patch:

Debian Security Advisory DSA-3048

https://www.debian.org/security/2014/dsa-3048

Patch:

Ubuntu Security Notice USN-2370-1

http://www.ubuntu.com/usn/usn-2370-1/

CVE-2014-7206: Unsicheres Erzeugen von Dateien in APT

Eine Schwachstelle in APT führt dazu, dass bei der Behandlung des Changelog
Kommandos temporäre Dateien angelegt werden, ohne dass geprüft wird, ob die
Datei bereits existiert.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-1312/

Debian Security Advisory DSA-3048:
https://www.debian.org/security/2014/dsa-3048

Ubuntu Security Notice USN-2370-1:
http://www.ubuntu.com/usn/usn-2370-1/

Schwachstelle CVE-2014-7206 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-7206

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben