Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Ubuntu Core Launcher

Betroffene Plattformen:

Canonical Ubuntu Linux 16.04 LTS

Ein entfernter, nicht authentifizierter Angreifer kann mit Hilfe eines
speziell präparierten Snaps, den ein Benutzer installiert und dessen Name
mit ‘ubuntu-core’ beginnt, beliebigen Programmcode im Kontext aller
installierten Snap-Anwendungen ausführen.

Canonical stellt ein Sicherheitsupdate für Ubuntu Core Launcher bereit, das
die Schwachstelle adressiert.

Patch:

Ubuntu Security Notice USN-2956-1

http://www.ubuntu.com/usn/usn-2956-1/

CVE-2016-1580: Schwachstelle in Ubuntu Core Launcher ermöglicht Ausführung
beliebigen Programmcodes mit den Rechten des Dienstes

Anwendungen im Snap-Format von Ubuntu Linux ermöglichen die Verwendung
eigener Umgebungen für die Anwendungsentwicklung, statt auf den Paketbaum
und die entsprechenden Abhängigkeiten der jeweiligen Paketverwaltung
zurückzugreifen. Der Ubuntu Core Launcher startet solche Anwendungen und
ihre zugeordneten Umgebungen, insbesondere ‘ubuntu-core’, das minimale
Root-Dateisystem, das zur Erstellung aller benutzerdefinierten Umgebungen
verwendet wird. Durch einen Programmierfehler wird ein Snap, dessen
Paketname mit ‘ubuntu-core’ beginnt (beispielsweise ‘ubuntu-core-evil’)
anstelle von ‘ubuntu-core’ in die Laufzeitumgebung aller Snap-Anwendungen
eingebunden, sobald er vom Benutzer installiert wird.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2016-0694/

Ubuntu Security Notice USN-2956-1:
http://www.ubuntu.com/usn/usn-2956-1/

Schwachstelle CVE-2016-1580 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-1580

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.