DFN-CERT-2016-1152 KDE Frameworks: Eine Schwachstelle ermöglicht die Manipulation von Dateien [Linux][Fedora]

DFN-CERT-2016-1152 KDE Frameworks: Eine Schwachstelle ermöglicht die Manipulation von Dateien [Linux][Fedora]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

KDE Frameworks < 5.24.0 Betroffene Plattformen: Red Hat Fedora 23 Red Hat Fedora 24 Extra Packages for Red Hat Enterprise Linux 7 Ein entfernter, nicht authentifizierter Angreifer kann mithilfe einer speziell präparierten Archivdatei, die ein Benutzer über KNewStuff herunterlädt und entpackt, beliebige Dateien relativ zum Extraktionsverzeichnis überschreiben und dadurch möglicherweise weitere Angriffe ausführen. Die Schwachstelle in KNewStuff wird in KArchive als Teil der Veröffentlichung der KDE Frameworks 5.24.0 behoben. Für Fedora 23 und 24 stehen Sicherheitsupdates für die KDE Frameworks auf Version 5.24.0 im Status 'testing' bereit. Das entsprechende Sicherheitsupdate für Fedora EPEL 7 befindet sich im Status 'pending'. Patch: Fedora Security Update FEDORA-2016-4701636a74 (Fedora 24) https://bodhi.fedoraproject.org/updates/FEDORA-2016-4701636a74

Patch:

Fedora Security Update FEDORA-2016-cef912e3a4 (Fedora 23)

https://bodhi.fedoraproject.org/updates/FEDORA-2016-cef912e3a4

Patch:

Fedora Security Update FEDORA-EPEL-2016-7913c4c81c (Fedora EPEL 7)

https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2016-7913c4c81c

Patch:

Release Notes KDE Frameworks 5.24.0

https://www.kde.org/announcements/kde-frameworks-5.24.0.php

CVE-2016-6232: Schwachstelle in KNewStuff ermöglicht Manipulation von
Dateien

In Archivdateien, die mit KNewStuff, Teil des KDE Frameworks,
heruntergeladen werden, werden relative Pfandangaben für die Extraktion der
Daten akzeptiert.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2016-1152/

Fedora Security Update FEDORA-2016-4701636a74 (Fedora 24):
https://bodhi.fedoraproject.org/updates/FEDORA-2016-4701636a74

Fedora Security Update FEDORA-2016-cef912e3a4 (Fedora 23):
https://bodhi.fedoraproject.org/updates/FEDORA-2016-cef912e3a4

Fedora Security Update FEDORA-EPEL-2016-7913c4c81c (Fedora EPEL 7):
https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2016-7913c4c81c

Release Notes KDE Frameworks 5.24.0:
https://www.kde.org/announcements/kde-frameworks-5.24.0.php

Schwachstelle CVE-2016-6232 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-6232

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben