DFN-CERT-2014-1598 PyXDG: Eine Schwachstelle ermöglicht die Manipulation von Dateien [Linux][Fedora]

DFN-CERT-2014-1598 PyXDG: Eine Schwachstelle ermöglicht die Manipulation von Dateien [Linux][Fedora]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

PyXDG <= 0.25 Betroffene Plattformen: Red Hat Fedora 21 Extra Packages for Red Hat Enterprise Linux 7 Durch Ausnutzen dieser Schwachstelle kann ein lokaler, authentifizierter Benutzer, als Angreifer, beliebige Dateien eines Opfers überschreiben. Für Fedora 21 und Extra Packages for Red Hat Enterprise Linux 7 werden Sicherheitsupdates in der Form aktualisierter Pakete von pyxdg 0.25 zur Verfügung gestellt. Patch: Fedora Security Update FEDORA-2014-16287 https://admin.fedoraproject.org/updates/FEDORA-2014-16287/pyxdg-0.25-5.fc21

Patch:

Fedora Security Update FEDORA-EPEL-2014-4445

https://admin.fedoraproject.org/updates/FEDORA-EPEL-2014-4445/pyxdg-0.25-5.el7

CVE-2014-1624: Schwachstelle in PyXDG erlaubt Manipulation von Dateien

Eine Race-Condition existiert in der Funktion
xdg.BaseDirectory.get_runtime_dir in python-xdg 0.25. Ein lokaler,
angemeldeter Benutzer, als Angreifer, kann diese Schwachstelle ausnutzen,
indem er vorbereitend einen Pfad /tmp/pyxdg-runtime-dir-fallback-victim
erzeugt, der auf einen Speicherort eines Opfers zeigt, und dann diesen mit
einem Symlink auf einen von ihm kontrollierten Ort ersetzt, sobald die
Funktion get_runtime_dir aufgerufen wird. Dies erlaubt dem Angreifer
beliebige Dateien des Opfers zu überschreiben.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-1598/

Schwachstelle CVE-2014-1624 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-1624

Fedora Security Update FEDORA-2014-16287:
https://admin.fedoraproject.org/updates/FEDORA-2014-16287/pyxdg-0.25-5.fc21

Fedora Security Update FEDORA-EPEL-2014-4445:
https://admin.fedoraproject.org/updates/FEDORA-EPEL-2014-4445/pyxdg-0.25-5.el7

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben