Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 5 (12.08.2016):
Für openSUSE Leap 42.1 stehen Sicherheitsupdates für sqlite3 zur Behebung
der Schwachstelle bereit.
Version 4 (10.08.2016):
Für SUSE Studio Onsite 1.3, SUSE Linux Enterprise Software Development Kit
11-SP4, SUSE Linux Enterprise Server 11-SP4 und SUSE Linux Enterprise
Debuginfo 11-SP4 stehen Sicherheitsupdates für sqlite3 zur Behebung der
Schwachstelle bereit.
Version 3 (04.08.2016):
Für SUSE Linux Enterprise Software Development Kit 12-SP1, Server 12-SP1
und Desktop 12-SP1 stehen Sicherheitsupdates für sqlite3 zur Behebung der
Schwachstelle bereit.
Version 2 (01.08.2016):
Für openSUSE 13.2 wurde ein Sicherheitsupdate für sqlite3 zur Behebung der
Schwachstelle veröffentlicht.
Version 1 (13.07.2016):
Neues Advisory

Betroffene Software:

SQLite < 3.13.0 Betroffene Plattformen: SUSE Linux Enterprise Debuginfo 11 SP4 SUSE Linux Enterprise Software Development Kit 11 SP4 SUSE Linux Enterprise Software Development Kit 12 SP1 SUSE Studio Onsite 1.3 Unix Unix GNU/Linux openSUSE 13.2 openSUSE Leap 42.1 SUSE Linux Enterprise Desktop 12 SP1 SUSE Linux Enterprise Server 11 SP4 SUSE Linux Enterprise Server 12 SP1 Red Hat Fedora 24 Eine Schwachstelle in SQLite ermöglicht einem lokalen, nicht authentifizierten Angreifer das Ausspähen von Informationen. Das SQLite-Projekt stellt die Version 3.13.0 als Sicherheitsupdate bereit. Für Fedora 24 steht ein Sicherheitsupdate in Form des Pakets sqlite-3.13.0-1.fc24 im Status 'stable' zur Verfügung. Patch: Fedora Security Update FEDORA-2016-0138339b54 https://bodhi.fedoraproject.org/updates/FEDORA-2016-0138339b54

Patch:

SQLite Release 3.13.0

http://sqlite.org/releaselog/3_13_0.html

Patch:

openSUSE Security Update openSUSE-SU-2016:1932-1

https://lists.opensuse.org/opensuse-updates/2016-08/msg00013.html

Patch:

SUSE Security Update SUSE-SU-2016:1945-1

http://lists.suse.com/pipermail/sle-security-updates/2016-August/002175.html

Patch:

SUSE Security Update SUSE-SU-2016:2021-1

http://lists.suse.com/pipermail/sle-security-updates/2016-August/002203.html

Patch:

openSUSE Security Update openSUSE-SU-2016:2041-1

http://lists.opensuse.org/opensuse-updates/2016-08/msg00053.html

CVE-2016-6153: Schwachstelle in SQLite ermöglicht Ausspähen von
Informationen

Eine Schwachstelle in SQLite basiert auf einem Fehler in der Logik bei der
Auswahl des temporären Verzeichnisses. SQLite überprüft verschiedene
bekannte Pfade auf deren Leseberechtigung, die z.B. auf speziell gehärteten
Systemen jedoch fehlschlägt, wenn die Leseberechtigung dort nicht gegeben
ist (z.B. bei Mode 1733). In diesem Fall wird das aktuelle
Arbeitsverzeichnis “.” ausgewählt. Die Berechtigungen werden auch für dieses
Verzeichnis geprüft, aber anschließend ignoriert. Wenn SQLite als Bibliothek
in Anwendungen eingebunden wird, kann dieses Verhalten, z.B. bei einem
Wechsel des Arbeitsverzeichnisses in einen unsicheren Pfad, zum Datenleck
werden.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2016-1115/

Schwachstelle CVE-2016-6153 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-6153

Fedora Security Update FEDORA-2016-0138339b54:
https://bodhi.fedoraproject.org/updates/FEDORA-2016-0138339b54

SQLite Release 3.13.0:
http://sqlite.org/releaselog/3_13_0.html

KoreLogic Security Advisory KL-001-2016-003:
https://www.korelogic.com/Resources/Advisories/KL-001-2016-003.txt

openSUSE Security Update openSUSE-SU-2016:1932-1:
https://lists.opensuse.org/opensuse-updates/2016-08/msg00013.html

SUSE Security Update SUSE-SU-2016:1945-1:
http://lists.suse.com/pipermail/sle-security-updates/2016-August/002175.html

SUSE Security Update SUSE-SU-2016:2021-1:
http://lists.suse.com/pipermail/sle-security-updates/2016-August/002203.html

openSUSE Security Update openSUSE-SU-2016:2041-1:
http://lists.opensuse.org/opensuse-updates/2016-08/msg00053.html

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 4 (10.08.2016):
Für SUSE Studio Onsite 1.3, SUSE Linux Enterprise Software Development Kit
11-SP4, SUSE Linux Enterprise Server 11-SP4 und SUSE Linux Enterprise
Debuginfo 11-SP4 stehen Sicherheitsupdates für sqlite3 zur Behebung der
Schwachstelle bereit.
Version 3 (04.08.2016):
Für SUSE Linux Enterprise Software Development Kit 12-SP1, Server 12-SP1
und Desktop 12-SP1 stehen Sicherheitsupdates für sqlite3 zur Behebung der
Schwachstelle bereit.
Version 2 (01.08.2016):
Für openSUSE 13.2 wurde ein Sicherheitsupdate für sqlite3 zur Behebung der
Schwachstelle veröffentlicht.
Version 1 (13.07.2016):
Neues Advisory

Betroffene Software:

SQLite < 3.13.0 Betroffene Plattformen: SUSE Linux Enterprise Debuginfo 11 SP4 SUSE Linux Enterprise Software Development Kit 11 SP4 SUSE Linux Enterprise Software Development Kit 12 SP1 SUSE Studio Onsite 1.3 Unix Unix GNU/Linux openSUSE 13.2 SUSE Linux Enterprise Desktop 12 SP1 SUSE Linux Enterprise Server 11 SP4 SUSE Linux Enterprise Server 12 SP1 Red Hat Fedora 24 Eine Schwachstelle in SQLite ermöglicht einem lokalen, nicht authentifizierten Angreifer das Ausspähen von Informationen. Das SQLite-Projekt stellt die Version 3.13.0 als Sicherheitsupdate bereit. Für Fedora 24 steht ein Sicherheitsupdate in Form des Pakets sqlite-3.13.0-1.fc24 im Status 'stable' zur Verfügung. Patch: Fedora Security Update FEDORA-2016-0138339b54 https://bodhi.fedoraproject.org/updates/FEDORA-2016-0138339b54

Patch:

SQLite Release 3.13.0

http://sqlite.org/releaselog/3_13_0.html

Patch:

openSUSE Security Update openSUSE-SU-2016:1932-1

https://lists.opensuse.org/opensuse-updates/2016-08/msg00013.html

Patch:

SUSE Security Update SUSE-SU-2016:1945-1

http://lists.suse.com/pipermail/sle-security-updates/2016-August/002175.html

Patch:

SUSE Security Update SUSE-SU-2016:2021-1

http://lists.suse.com/pipermail/sle-security-updates/2016-August/002203.html

CVE-2016-6153: Schwachstelle in SQLite ermöglicht Ausspähen von
Informationen

Eine Schwachstelle in SQLite basiert auf einem Fehler in der Logik bei der
Auswahl des temporären Verzeichnisses. SQLite überprüft verschiedene
bekannte Pfade auf deren Leseberechtigung, die z.B. auf speziell gehärteten
Systemen jedoch fehlschlägt, wenn die Leseberechtigung dort nicht gegeben
ist (z.B. bei Mode 1733). In diesem Fall wird das aktuelle
Arbeitsverzeichnis “.” ausgewählt. Die Berechtigungen werden auch für dieses
Verzeichnis geprüft, aber anschließend ignoriert. Wenn SQLite als Bibliothek
in Anwendungen eingebunden wird, kann dieses Verhalten, z.B. bei einem
Wechsel des Arbeitsverzeichnisses in einen unsicheren Pfad, zum Datenleck
werden.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2016-1115/

Schwachstelle CVE-2016-6153 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-6153

Fedora Security Update FEDORA-2016-0138339b54:
https://bodhi.fedoraproject.org/updates/FEDORA-2016-0138339b54

SQLite Release 3.13.0:
http://sqlite.org/releaselog/3_13_0.html

KoreLogic Security Advisory KL-001-2016-003:
https://www.korelogic.com/Resources/Advisories/KL-001-2016-003.txt

openSUSE Security Update openSUSE-SU-2016:1932-1:
https://lists.opensuse.org/opensuse-updates/2016-08/msg00013.html

SUSE Security Update SUSE-SU-2016:1945-1:
http://lists.suse.com/pipermail/sle-security-updates/2016-August/002175.html

SUSE Security Update SUSE-SU-2016:2021-1:
http://lists.suse.com/pipermail/sle-security-updates/2016-August/002203.html

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 3 (04.08.2016):
Für SUSE Linux Enterprise Software Development Kit 12-SP1, Server 12-SP1
und Desktop 12-SP1 stehen Sicherheitsupdates für sqlite3 zur Behebung der
Schwachstelle bereit.
Version 2 (01.08.2016):
Für openSUSE 13.2 wurde ein Sicherheitsupdate für sqlite3 zur Behebung der
Schwachstelle veröffentlicht.
Version 1 (13.07.2016):
Neues Advisory

Betroffene Software:

SQLite < 3.13.0 Betroffene Plattformen: SUSE Linux Enterprise Software Development Kit 12 SP1 Unix Unix GNU/Linux openSUSE 13.2 SUSE Linux Enterprise Desktop 12 SP1 SUSE Linux Enterprise Server 12 SP1 Red Hat Fedora 24 Eine Schwachstelle in SQLite ermöglicht einem lokalen, nicht authentifizierten Angreifer das Ausspähen von Informationen. Das SQLite-Projekt stellt die Version 3.13.0 als Sicherheitsupdate bereit. Für Fedora 24 steht ein Sicherheitsupdate in Form des Pakets sqlite-3.13.0-1.fc24 im Status 'stable' zur Verfügung. Patch: Fedora Security Update FEDORA-2016-0138339b54 https://bodhi.fedoraproject.org/updates/FEDORA-2016-0138339b54

Patch:

SQLite Release 3.13.0

http://sqlite.org/releaselog/3_13_0.html

Patch:

openSUSE Security Update openSUSE-SU-2016:1932-1

https://lists.opensuse.org/opensuse-updates/2016-08/msg00013.html

Patch:

SUSE Security Update SUSE-SU-2016:1945-1

http://lists.suse.com/pipermail/sle-security-updates/2016-August/002175.html

CVE-2016-6153: Schwachstelle in SQLite ermöglicht Ausspähen von
Informationen

Eine Schwachstelle in SQLite basiert auf einem Fehler in der Logik bei der
Auswahl des temporären Verzeichnisses. SQLite überprüft verschiedene
bekannte Pfade auf deren Leseberechtigung, die z.B. auf speziell gehärteten
Systemen jedoch fehlschlägt, wenn die Leseberechtigung dort nicht gegeben
ist (z.B. bei Mode 1733). In diesem Fall wird das aktuelle
Arbeitsverzeichnis “.” ausgewählt. Die Berechtigungen werden auch für dieses
Verzeichnis geprüft, aber anschließend ignoriert. Wenn SQLite als Bibliothek
in Anwendungen eingebunden wird, kann dieses Verhalten, z.B. bei einem
Wechsel des Arbeitsverzeichnisses in einen unsicheren Pfad, zum Datenleck
werden.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2016-1115/

Schwachstelle CVE-2016-6153 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-6153

Fedora Security Update FEDORA-2016-0138339b54:
https://bodhi.fedoraproject.org/updates/FEDORA-2016-0138339b54

SQLite Release 3.13.0:
http://sqlite.org/releaselog/3_13_0.html

KoreLogic Security Advisory KL-001-2016-003:
https://www.korelogic.com/Resources/Advisories/KL-001-2016-003.txt

openSUSE Security Update openSUSE-SU-2016:1932-1:
https://lists.opensuse.org/opensuse-updates/2016-08/msg00013.html

SUSE Security Update SUSE-SU-2016:1945-1:
http://lists.suse.com/pipermail/sle-security-updates/2016-August/002175.html

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 2 (01.08.2016):
Für openSUSE 13.2 wurde ein Sicherheitsupdate für sqlite3 zur Behebung der
Schwachstelle veröffentlicht.
Version 1 (13.07.2016):
Neues Advisory

Betroffene Software:

SQLite < 3.13.0 Betroffene Plattformen: Unix Unix GNU/Linux openSUSE 13.2 Red Hat Fedora 24 Eine Schwachstelle in SQLite ermöglicht einem lokalen, nicht authentifizierten Angreifer das Ausspähen von Informationen. Das SQLite-Projekt stellt die Version 3.13.0 als Sicherheitsupdate bereit. Für Fedora 24 steht ein Sicherheitsupdate in Form des Pakets sqlite-3.13.0-1.fc24 im Status 'testing' zur Verfügung. Patch: Fedora Security Update FEDORA-2016-0138339b54 https://bodhi.fedoraproject.org/updates/FEDORA-2016-0138339b54

Patch:

SQLite Release 3.13.0

http://sqlite.org/releaselog/3_13_0.html

Patch:

openSUSE Security Update openSUSE-SU-2016:1932-1

https://lists.opensuse.org/opensuse-updates/2016-08/msg00013.html

CVE-2016-6153: Schwachstelle in SQLite ermöglicht Ausspähen von
Informationen

Eine Schwachstelle in SQLite basiert auf einem Fehler in der Logik bei der
Auswahl des temporären Verzeichnisses. SQLite überprüft verschiedene
bekannte Pfade auf deren Leseberechtigung, die z.B. auf speziell gehärteten
Systemen jedoch fehlschlägt, wenn die Leseberechtigung dort nicht gegeben
ist (z.B. bei Mode 1733). In diesem Fall wird das aktuelle
Arbeitsverzeichnis “.” ausgewählt. Die Berechtigungen werden auch für dieses
Verzeichnis geprüft, aber anschließend ignoriert. Wenn SQLite als Bibliothek
in Anwendungen eingebunden wird, kann dieses Verhalten, z.B. bei einem
Wechsel des Arbeitsverzeichnisses in einen unsicheren Pfad, zum Datenleck
werden.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2016-1115/

Schwachstelle CVE-2016-6153 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-6153

Fedora Security Update FEDORA-2016-0138339b54:
https://bodhi.fedoraproject.org/updates/FEDORA-2016-0138339b54

SQLite Release 3.13.0:
http://sqlite.org/releaselog/3_13_0.html

KoreLogic Security Advisory KL-001-2016-003:
https://www.korelogic.com/Resources/Advisories/KL-001-2016-003.txt

openSUSE Security Update openSUSE-SU-2016:1932-1:
https://lists.opensuse.org/opensuse-updates/2016-08/msg00013.html

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.