DFN-CERT-2015-0020 GNU cpio: Zwei Schwachstellen ermöglichen das Ausführen beliebigen Programmcodes [Linux]

DFN-CERT-2015-0020 GNU cpio: Zwei Schwachstellen ermöglichen das Ausführen beliebigen Programmcodes [Linux]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

GNU cpio <= 2.11 Betroffene Plattformen: Canonical Ubuntu Linux 10.04 Lts Canonical Ubuntu Linux 12.04 Lts Canonical Ubuntu Linux 14.04 Lts Canonical Ubuntu Linux 14.10 Durch Ausnutzen dieser Schwachstellen kann ein entfernter, nicht authentifizierter Angreifer beliebigen Programmcode zur Ausführung bringen. Für Ubuntu 14.10, 14.04 LTS, 12.04 LTS sowie 10.04 LTS werden aktualisierte Pakete von cpio 2.11, bzw. 2.10 zur Verfügung gestellt, um diese Schwachstellen zu beheben. Patch: Ubuntu Security Notice USN-2456-1 http://www.ubuntu.com/usn/usn-2456-1/

CVE-2014-9112: Heap-Überlauf-Schwachstelle in cpio ermöglicht die Ausführung
beliebigen Programmcodes

Eine Heap-Pufferspeicher-Überlauf-Schwachstelle in der Funktion list_file()
von cpio führt dazu, dass beim Entpacken einer manipulierten Archiv-Datei,
cpio abstürzen kann oder beliebiger Programmcode ausgeführt wird. Ein
entfernter, nicht authentifizierter Angreifer kann beliebigen Programmcode
zur Ausführung bringen.

CVE-2010-0624: Schwachstelle in cpio ermöglicht beliebigen Programmcode mit
Benutzerrechten auszuführen

Die Implementation des “remote mag tape protocol” (rmt) in GNU tar vor
Version 1.23 und GNU cpio vor Version 2.11 filtert Benutzereingaben nicht
korrekt und in der Funktion rmt_read__() (aus:lib/rtapelib.c) kann ein
heap-basierter Pufferüberlauf ausgelöst werden. Ein entfernter, nicht
authentifizierter Angreifer kann diese Schwachstelle ausnutzen, um beliebige
Befehle mit den Rechten des Benutzers zur Ausführung zu bringen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-0020/

Schwachstelle CVE-2014-9112 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-9112

Ubuntu Security Notice USN-2456-1:
http://www.ubuntu.com/usn/usn-2456-1/

Schwachstelle CVE-2010-0624 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2010-0624

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben