DFN-CERT-2016-1115 SQLite: Eine Schwachstelle ermöglicht das Ausspähen von Informationen [Linux][Fedora][Unix]

DFN-CERT-2016-1115 SQLite: Eine Schwachstelle ermöglicht das Ausspähen von Informationen [Linux][Fedora][Unix]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

SQLite < 3.13.0 Betroffene Plattformen: Unix Unix GNU/Linux Red Hat Fedora 24 Eine Schwachstelle in SQLite ermöglicht einem lokalen, nicht authentifizierten Angreifer das Ausspähen von Informationen. Das SQLite-Projekt stellt die Version 3.13.0 als Sicherheitsupdate bereit. Für Fedora 24 steht ein Sicherheitsupdate in Form des Pakets sqlite-3.13.0-1.fc24 im Status 'testing' zur Verfügung. Patch: Fedora Security Update FEDORA-2016-0138339b54 https://bodhi.fedoraproject.org/updates/FEDORA-2016-0138339b54

Patch:

SQLite Release 3.13.0

http://sqlite.org/releaselog/3_13_0.html

CVE-2016-6153: Schwachstelle in SQLite ermöglicht Ausspähen von
Informationen

Eine Schwachstelle in SQLite basiert auf einem Fehler in der Logik bei der
Auswahl des temporären Verzeichnisses. SQLite überprüft verschiedene
bekannte Pfade auf deren Leseberechtigung, die z.B. auf speziell gehärteten
Systemen jedoch fehlschlägt, wenn die Leseberechtigung dort nicht gegeben
ist (z.B. bei Mode 1733). In diesem Fall wird das aktuelle
Arbeitsverzeichnis “.” ausgewählt. Die Berechtigungen werden auch für dieses
Verzeichnis geprüft, aber anschließend ignoriert. Wenn SQLite als Bibliothek
in Anwendungen eingebunden wird, kann dieses Verhalten, z.B. bei einem
Wechsel des Arbeitsverzeichnisses in einen unsicheren Pfad, zum Datenleck
werden.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2016-1115/

Schwachstelle CVE-2016-6153 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-6153

Fedora Security Update FEDORA-2016-0138339b54:
https://bodhi.fedoraproject.org/updates/FEDORA-2016-0138339b54

SQLite Release 3.13.0:
http://sqlite.org/releaselog/3_13_0.html

KoreLogic Security Advisory KL-001-2016-003:
https://www.korelogic.com/Resources/Advisories/KL-001-2016-003.txt

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben