DFN-CERT-2015-1565 LXDM: Zwei Schwachstellen ermöglichen u.a. die Manipulation von Dateien [Linux][Fedora]

DFN-CERT-2015-1565 LXDM: Zwei Schwachstellen ermöglichen u.a. die Manipulation von Dateien [Linux][Fedora]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

LXDM

Betroffene Plattformen:

Red Hat Fedora 21
Red Hat Fedora 22
Red Hat Fedora 23

Zwei Schwachstellen in LXDM ermöglichen einem lokalen, einfach
authentifizierten Angreifer die Manipulation von Dateien und das Umgehen von
Sicherheitsvorkehrungen.

Für Fedora 21, Fedora 22 und Fedora 23 stehen Sicherheitsupdates in Form der
Pakete lxdm-0.4.1-10.fc21, lxdm-0.4.1-10.fc22 und
lxdm-0.5.1-7.D20151007gite8f38708.fc23 im Status ‘testing’ zur Verfügung.
Fedora 23 ist von der Schwachstelle FEDORA-BUG-ID-846086 nicht betroffen.

Patch:

Fedora Security Update FEDORA-2015-44deee4d7a (Fedora 23)

https://bodhi.fedoraproject.org/updates/FEDORA-2015-44deee4d7a

Patch:

Fedora Security Update FEDORA-2015-7766c0d939 (Fedora 21)

https://bodhi.fedoraproject.org/updates/FEDORA-2015-7766c0d939

Patch:

Fedora Security Update FEDORA-2015-adbae85c55 (Fedora 22)

https://bodhi.fedoraproject.org/updates/FEDORA-2015-adbae85c55

FEDORA-BUG-ID-846086: Schwachstelle in LXDM ermöglicht Manipulation von
Dateien

Es existiert eine Schwachstelle in LXDM, die durch die fehlerhafte
Behandlung des Datei-Deskriptors für die Log-Datei hervorgerufen wird. LXDM
schließt den Deskriptor nach der Verwendung nicht, wodurch er von Benutzern
und Prozessen zur Manipulation der Log-Datei verwendet werden kann. Ein
lokaler, einfach authentifizierter Benutzer, als Angreifer, kann die
Log-Datei manipulieren.

FEDORA-BUG-ID-1268900 : Schwachstelle in LXDM ermöglicht Umgehen von
Sicherheitsvorkehrungen

Es existiert eine Schwachstelle in der Konfiguration von LXDM, die es einem
lokalen, authentifizierten Benutzer, als Angreifer, ermöglicht eine
Verbindung zum X-Server herzustellen. Hintergrund ist die fehlende Option
-auth beim Starten von X.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-1565/

Fedora Security Update FEDORA-2015-44deee4d7a (Fedora 23):
https://bodhi.fedoraproject.org/updates/FEDORA-2015-44deee4d7a

Fedora Security Update FEDORA-2015-7766c0d939 (Fedora 21):
https://bodhi.fedoraproject.org/updates/FEDORA-2015-7766c0d939

Fedora Security Update FEDORA-2015-adbae85c55 (Fedora 22):
https://bodhi.fedoraproject.org/updates/FEDORA-2015-adbae85c55

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben