Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Canonical Ubuntu Linux 14.10

Betroffene Plattformen:

Canonical Ubuntu Linux

Durch Ausnutzen der Schwachstelle kann ein im benachbarten Netzwerk
befindlicher, authentisierter Benutzer, als Angreifer,
Sicherheitsvorkehrungen umgehen. Für Canonical Ubuntu 14.10 wird ein
aktualisiertes Paket mountall 2.54 bereitgestellt, um diese Schwachstelle zu
beheben.

Patch:

Ubuntu Security Notice USN-2411-1

http://www.ubuntu.com/usn/usn-2411-1/

CVE-2014-1421: Schwachstelle in mountall erlaubt Beschränkungen von
Berechtigungen zu umgehen

Eine Schwachstelle in “mountall”, welches verwendet wird, um Dateisysteme zu
mounten, die in einer Dateisystemtabelle spezifiziert ist, besteht darin,
dass “mountall”, wenn es das Mount-Tool aufruft, “umask” fehlerhaft
handhabt, wodurch bestimmte Dateisysteme möglicherweise mit falschen
Berechtigungen gemountet werden. Ein im benachbarten Netzwerk befindlicher,
authentisierter Benutzer, als Angreifer, kann diese Schwachstelle ausnutzen,
um Beschränkungen von Berechtigungen zu umgehen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-1507/

Ubuntu Security Notice USN-2411-1:
http://www.ubuntu.com/usn/usn-2411-1/

Schwachstelle CVE-2014-1421 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-1421

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.