Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Open Build Service (OBS)

Betroffene Plattformen:

SUSE Linux Enterprise Software Development Kit 12 SP1

Ein entfernter, nicht authentisierter Angreifer kann diese Schwachstellen
über eine Service-Definition ausnutzen, etwa indem Unzip mit nicht
zulässigen Optionen ausgeführt wird, um beliebige Kommandos mit den Rechten
des Administrators zur Ausführung zu bringen.

Für SUSE Linux Enterprise Software Development Kit 12-SP1 steht ein
Sicherheitsupdate zur Behebung dieser Schwachstellen bereit.

Patch:

SUSE Security Update SUSE-SU-2016:1839-1

http://lists.suse.com/pipermail/sle-security-updates/2016-July/002162.html

CVE-2016-4007: Schwachstellen in ‘obs-service-source_validator’ ermöglichen
Ausführen beliebigen Programmcodes

In dem Paket ‘obs-service-extract_file’ existieren mehrere, nicht näher
spezifizierte Schwachstellen, welche das Einschleusen von Programmcode und
Parametern erlauben. Durch schädliche Service-Definitionen können Kommandos
ausgeführt oder Änderungen am Dateisystem des Benutzers vorgenommen werden.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2016-1183/

Schwachstelle CVE-2016-4007 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-4007

SUSE Security Update SUSE-SU-2016:1839-1:
http://lists.suse.com/pipermail/sle-security-updates/2016-July/002162.html

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.