DFN-CERT-2015-0695 Quassel IRC: Eine Schwachstelle ermöglicht das Ausführen beliebiger SQL-Befehle [Linux][Debian]

DFN-CERT-2015-0695 Quassel IRC: Eine Schwachstelle ermöglicht das Ausführen beliebiger SQL-Befehle [Linux][Debian]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Quassel IRC

Betroffene Plattformen:

Debian Linux 8.0 Jessie
Debian Linux 9.0 Strech

Durch Ausnutzen einer Schwachstelle in Quassel IRC kann ein entfernter,
nicht authentifizierter Angreifer beliebige SQL-Befehle ausführen lassen.
Für die stabile Distribution Debian Linux Jessie (8.0) wird ein
Sicherheitsupdate für Quassel in Form des Paketes 0.10.0-2.3+deb8u1 zur
Verfügung gestellt. Für die Debian testing Distribution Stretch (9.0) steht
das Paket 1:0.10.0-2.4 bereit.

Patch:

Debian Security Advisory DSA-3258-1

https://www.debian.org/security/2015/dsa-3258

CVE-2015-3427: Schwachstelle in Quassel erlaubt das Einschleusen beliebiger
SQL-Queries

Es wurde festgestellt, dass das frühere Sicherheitsupdate für Quassel zur
Behebung der Schwachstelle CVE-2013-4422 unvollständig war. Dadurch können
nach einem erneuten Verbindungsaufbau zur Datenbank (z. B. wenn der
PostgeSQL Backend-Server neu gestartet wurde), beliebige SQL-Queries
eingeschleust werden.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-0695/

Debian Security Advisory DSA-3258-1:
https://www.debian.org/security/2015/dsa-3258

Schwachstelle CVE-2015-3427 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-3427

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben