Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Fedora Project SSSD < 1.12.2 Betroffene Plattformen: openSUSE 13.2 Durch Ausnutzen dieser Schwachstelle kann ein lokal angemeldeter Benutzer, als Angreifer, beabsichtigte Zugriffsbeschränkungen auf der Basis von Gruppenrichtlinien umgehen und somit seine Rechte erweitern. Für openSUSE 13.2 wurde SSSD auf das neue Upstream-Release 1.12.2 aktualisiert. Patch: openSUSE Security Update openSUSE-SU-2014:1407-1 http://lists.opensuse.org/opensuse-updates/2014-11/msg00047.html

CVE-2014-0249: Schwachstelle im System Security Services Daemon

Eine Schwachstelle im System Security Services Daemon (SSSD) 1.11.6 besteht
darin, dass dieser eine Gruppenzugehörigkeit nicht ordentlich identifiziert,
wenn eine “non-POSIX”-Gruppe in einer Gruppenzugehörigkeitskette enthalten
ist. Ein lokal angemeldeter Benutzer, als Angreifer, kann diese
Schwachstelle ausnutzen, über nicht näher beschriebene Angriffsvektoren, um
Zugangsrestriktionen zu umgehen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-1482/

Schwachstelle CVE-2014-0249 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0249

openSUSE Security Update openSUSE-SU-2014:1407-1:
http://lists.opensuse.org/opensuse-updates/2014-11/msg00047.html

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.