Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Betroffene Software:
LXD
Betroffene Plattformen:
Canonical Ubuntu Linux 15.10
Canonical Ubuntu Linux 16.04 LTS
Zwei Schwachstellen in LXD ermöglichen einem lokalen, einfach
authentifizierten Angreifer das Ausspähen von Informationen sowie die
Eskalation von Privilegien.
Canonical stellt Sicherheitsupdates für Ubuntu 15.10 und Ubuntu 16.04 LTS
bereit.
Patch:
Ubuntu Security Notice USN-2988-1
http://www.ubuntu.com/usn/usn-2988-1/
CVE-2016-1582: Schwachstelle in LXD ermöglicht Privilegieneskalation
Es existiert eine Schwachstelle in LXD, aufgrund des fehlerhaften Setzens
von Berechtigungen wenn nicht privilegierte Container in den privilegierten
Modus umgeschaltet werden. Ein lokaler, einfach authentifizierter Angreifer
ist dadurch in der Lage jeden ‘world-readable’-Pfad im Containerverzeichnis
einschließlich der setuid-binaries zu erreichen und in der Folge Dateien zu
manipulieren und seine Privilegien zu eskalieren.
CVE-2016-1581: Schwachstelle in LXD ermöglicht Ausspähen von Informationen
Es existiert eine Schwachstelle in LXD aufgrund des fehlerhaften Setzens von
Berechtigungen beim Einrichten eines schleifenbasierten ZFS-Pools. Ein
lokaler, einfach authentifizierter Angreifer ist dadurch in der Lage, die
Dateien sämtlicher LXD-Container zu lesen und zu kopieren.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2016-0881/
Ubuntu Security Notice USN-2988-1:
http://www.ubuntu.com/usn/usn-2988-1/
Schwachstelle CVE-2016-1581 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-1581
Schwachstelle CVE-2016-1582 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-1582
(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.
