DFN-CERT-2014-1314 SDDM: Mehrere Schwachstellen ermöglichen die Eskalation von Privilegien [Linux][Fedora]

DFN-CERT-2014-1314 SDDM: Mehrere Schwachstellen ermöglichen die Eskalation von Privilegien [Linux][Fedora]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Red Hat Fedora 19
Red Hat Fedora 20
Red Hat Fedora 21

Betroffene Plattformen:

Red Hat Fedora

Mehrere Schwachstellen in Fedora im Zusammenhang mit dem Simple Desktop
Display Manager (SDDM)-Benutzer ermöglichen es einem entfernten, nicht
authentifizierten Angreifer, Administrationsrechte zu erlangen.

Patch:

Fedora Security Update FEDORA-2014-12407

https://admin.fedoraproject.org/updates/FEDORA-2014-12407/sddm-0.9.0-1.20141007git6a28c29b.fc19

Patch:

Fedora Security Update FEDORA-2014-12442

https://admin.fedoraproject.org/updates/FEDORA-2014-12442/sddm-0.9.0-1.20141007git6a28c29b.fc21

Patch:

Fedora Update FEDORA-2014-12308

https://admin.fedoraproject.org/updates/FEDORA-2014-12308/sddm-0.9.0-1.20141007git6a28c29b.fc20

CVE-2014-7272: Privilegerhöhung durch mehrere Schwachstellen im SDDM möglich

Mehrere Schwachstellen im Simple Desktop Display Manager (SDDM) führen zu
einer Privilegienerhöhung. (1) Bei der Erstellung des xauth-Cookie wird das
Xauth-Programm per popen() mit Root-Rechten aufgerufen und legt Dateien im
Benutzerverzeichnis als Root an. (2) Nach der Ausführung von xauth kommt es
bei der Änderungen des Besitzers der Dateien ~/.Xauthority per chown zu
einer ‘Race-Condition’ und (3) die Datei .xsession-errors wird im
Benutzerverzeichnis mit Root-Rechten angelegt, wodurch beliebige Dateien per
symbolischem Link überschrieben werden können.

CVE-2014-7271: Login ohne Authentifizierung im SDDM möglich

Eine Schwachstelle in der Benutzerauthentifizierung des Simple Desktop
Display Manager (SDDM) führt dazu, dass sich der Benutzer “sddm” ohne
Authentifizierung anmelden kann.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-1314/

Fedora Security Update FEDORA-2014-12407:
https://admin.fedoraproject.org/updates/FEDORA-2014-12407/sddm-0.9.0-1.20141007git6a28c29b.fc19

Fedora Security Update FEDORA-2014-12442:
https://admin.fedoraproject.org/updates/FEDORA-2014-12442/sddm-0.9.0-1.20141007git6a28c29b.fc21

Fedora Update FEDORA-2014-12308:
https://admin.fedoraproject.org/updates/FEDORA-2014-12308/sddm-0.9.0-1.20141007git6a28c29b.fc20

Schwachstelle CVE-2014-7271 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-7271

Schwachstelle CVE-2014-7272 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-7272

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben