Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

elfutils 0.152
elfutils 0.161

Betroffene Plattformen:

Red Hat Fedora 20
Red Hat Fedora 21

Ein entfernter, nicht authentisierter Angreifer kann die Schwachstelle
nutzen, um beliebige Dateien im Root-Verzeichnis via a / (slash) zu
manipulieren.
Für die Distributionen Fedora 20 und Fedora 21 stehen Sicherheitsupdates auf
die gepatchte Version elfutils 0.161 im Status ‘testing’ zur Verfügung.

Patch:

Fedora Security Update FEDORA-2015-0677

https://admin.fedoraproject.org/updates/FEDORA-2015-0677/elfutils-0.161-2.fc20

Patch:

Fedora Security Update FEDORA-2015-0692

https://admin.fedoraproject.org/updates/FEDORA-2015-0692/elfutils-0.161-2.fc21

CVE-2014-9447: Directory Traversal Schwachstelle in elfutils

In der “read_long_names”-Funktion in “libelf/elf_begin.c” in elfutils 0.152
und 0.161 existiert eine Directory-Traversal-Schwachstelle.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-0047/

Schwachstelle CVE-2014-9447 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-9447

Fedora Security Update FEDORA-2015-0677:
https://admin.fedoraproject.org/updates/FEDORA-2015-0677/elfutils-0.161-2.fc20

Fedora Security Update FEDORA-2015-0692:
https://admin.fedoraproject.org/updates/FEDORA-2015-0692/elfutils-0.161-2.fc21

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.