DFN-CERT-2016-1340 FirewallD: Eine Schwachstelle ermöglicht das Umgehen von Sicherheitsvorkehrungen [Linux][Fedora]

DFN-CERT-2016-1340 FirewallD: Eine Schwachstelle ermöglicht das Umgehen von Sicherheitsvorkehrungen [Linux][Fedora]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

FirewallD <= 0.4.3.2 Betroffene Plattformen: Red Hat Fedora 23 Red Hat Fedora 24 Red Hat Fedora 25 Eine Schwachstelle in FirewallD ermöglicht einem entfernten, einfach authentifizierten Angreifer das Umgehen von Sicherheitsvorkehrungen, wodurch eventuell weitere Angriffe möglich werden. Für Fedora 23, 24 und 25 stehen Sicherheitsupdates für FirewallD auf die Version 0.4.3.3 zur Verfügung, um diese Schwachstelle und eine Reihe weiterer Bugs zu beheben. Patch: Fedora Security Update FEDORA-2016-47dc2b203f (Fedora 23, firewalld-0.4.3.3-1) https://bodhi.fedoraproject.org/updates/FEDORA-2016-47dc2b203f

Patch:

Fedora Security Update FEDORA-2016-4dedc6ec3d (Fedora 25,
firewalld-0.4.3.3-1)

https://bodhi.fedoraproject.org/updates/FEDORA-2016-4dedc6ec3d

Patch:

Fedora Security Update FEDORA-2016-de55d2c2c9 (Fedora 24,
firewalld-0.4.3.3-1)

https://bodhi.fedoraproject.org/updates/FEDORA-2016-de55d2c2c9

CVE-2016-5410: Schwachstelle in FirewallD ermöglicht Umgehen von
Sicherheitsvorkehrungen

FirewallD bietet für das Modifizieren von Konfigurationen eine D-Bus API.
Um diese verwenden zu können, muss ein Benutzer über ‘polkit’
authentifiziert sein. Durch einen Programmierfehler kann jedoch jeder
beliebig angemeldete Benutzer fünf Methoden – FirewallD-Befehle – über die
D-Bus API oder die Firewall-‘cmd cli’-Schnittstelle aufrufen. Dabei kann
jede vordefinierte Sicherheitsrichtlinie (Policy) verwendet werden, sowohl
Server als auch Desktop.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2016-1340/

Fedora Security Update FEDORA-2016-47dc2b203f (Fedora 23, firewalld-0.4.3.3-1):
https://bodhi.fedoraproject.org/updates/FEDORA-2016-47dc2b203f

Fedora Security Update FEDORA-2016-4dedc6ec3d (Fedora 25, firewalld-0.4.3.3-1):
https://bodhi.fedoraproject.org/updates/FEDORA-2016-4dedc6ec3d

Fedora Security Update FEDORA-2016-de55d2c2c9 (Fedora 24, firewalld-0.4.3.3-1):
https://bodhi.fedoraproject.org/updates/FEDORA-2016-de55d2c2c9

Schwachstelle CVE-2016-5410 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-5410

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben