DFN-CERT-2014-1585 GNU Lib C: Mehrere Schwachstellen erlauben Denial-of-Service-Angriffe und das Ausführen beliebigen Programmcodes [Linux]

DFN-CERT-2014-1585 GNU Lib C: Mehrere Schwachstellen erlauben Denial-of-Service-Angriffe und das Ausführen beliebigen Programmcodes [Linux]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

GNU glibc

Betroffene Plattformen:

Canonical Ubuntu Linux 10.04 Lts
Canonical Ubuntu Linux 12.04 Lts
Canonical Ubuntu Linux 14.04 Lts
Canonical Ubuntu Linux 14.10

Durch Ausnutzen dieser Schwachstellen kann ein lokaler, nicht
authentifizierter Angreifer Denial-of-Service-Angriffe durchführen oder ein
lokaler, authentifizierter Benutzer, als Angreifer, beliebigen Programmcode
zur Ausführung bringen. Für die Distributionen Ubuntu 14.10, 14.04 LTS,
12.04 LTS und 10.04 LTS werden Sicherheitsupdates von libc6 auf die
Versionen 2.19, bzw. 2.15, bzw. 2.11.1 bereitgestellt.

Patch:

Ubuntu Security Notice USN-2432-1

http://www.ubuntu.com/usn/usn-2432-1/

CVE-2014-7817: Schwachstelle in GNU Lib C ermöglicht Ausführen beliebiger
Befehle

Eine Schwachstelle in der “wordexp”-Funktion in der GNU C Library (glibc)
2.21 besteht darin, dass diese das WRDE_NOCMD-Flag nicht durchsetzt. Ein
lokaler, einfach authentifizierter Benutzer, als Angreifer, kann die
Schwachstelle in bestimmten Kontexten ausnutzen, um beliebige Kommandos
auszuführen.

CVE-2012-6656: Denial-of-Service-Schwachstelle in GNU C Library

Glibc enthält eine Schwachstelle, die bei der Kodierung von IBM930-Code
ungültige Multibyte-Zeichen fehlerhaft auswertet. Ein lokaler, nicht
authentisierter Angreifer kann die Schwachstelle zu einem
Denial-of-Service-Angriff ausnutzen.

CVE-2014-6040: Schwachstelle in GNU Lib C ermöglicht Denial-of-Service

Es existiert eine Schwachstelle in der Codepage Dekodierungsfunktion von GNU
Lib C (glibc). Ein lokaler, nicht authentifizierter Angreifer kann, durch
nicht näher spezifizierte Angriffsvektoren, einen Denial-of-Service-Zustand
verursachen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-1585/

Schwachstelle CVE-2014-6040 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-6040

Schwachstelle CVE-2012-6656 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2012-6656

Schwachstelle CVE-2014-7817 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-7817

Ubuntu Security Notice USN-2432-1:
http://www.ubuntu.com/usn/usn-2432-1/

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben