Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

dpkg

Betroffene Plattformen:

Canonical Ubuntu Linux 12.04 Lts
Canonical Ubuntu Linux 14.04 Lts
Canonical Ubuntu Linux 15.04
Canonical Ubuntu Linux 15.10
Debian Linux 7.9 Wheezy
Debian Linux 8.2 Jessie

Ein entfernter, nicht authentifizierter Angreifer, der in der Lage ist,
einen Benutzer oder ein automatisches System zum Verarbeiten eines speziell
manipulierten Debian Binärpaketes (.deb) zu verleiten, kann die
Schwachstelle ausnutzen, um beliebigen Programmcode zur Ausführung zu
bringen.

Debian stellt für die Distributionen Jessie (stable) und Wheezy (old stable)
Sicherheitsupdates zur Verfügung. Canonical adressiert die Schwachstelle für
Ubuntu 12.04 LTS, Ubuntu 14.04 LTS, Ubuntu 15.04 und Ubuntu 15.10.

Patch:

Debian Security Advisory DSA-3407-1

https://www.debian.org/security/2015/dsa-3407

Patch:

Ubuntu Security Notice USN-2820-1

http://www.ubuntu.com/usn/usn-2820-1/

CVE-2015-0860: Schwachstelle in dpkg ermöglicht Ausführung beliebigen
Programmcodes

In der ‘dpkg-deb’-Komponente des Debian Package Management Systems (dpkg)
existiert eine Schwachstelle, die auf einem Stack-basierten Pufferüberlauf
beim Prozessieren von Debian Binärpaketen des alten Stils (old style Debian
binary packages) beruht.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-1833/

Debian Security Advisory DSA-3407-1:
https://www.debian.org/security/2015/dsa-3407

Ubuntu Security Notice USN-2820-1:
http://www.ubuntu.com/usn/usn-2820-1/

Schwachstelle CVE-2015-0860 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0860

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.