DFN-CERT-2017-0017 OnionShare: Eine Schwachstelle ermöglicht das unsichere Erzeugen von temporären Dateien [Linux][Fedora]

DFN-CERT-2017-0017 OnionShare: Eine Schwachstelle ermöglicht das unsichere Erzeugen von temporären Dateien [Linux][Fedora]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

OnionShare < 0.9.1 Betroffene Plattformen: Red Hat Fedora 24 Red Hat Fedora 25 Ein lokaler, nicht authentisierter Angreifer kann eine Schwachstelle in OnionShare ausnutzen, um temporäre Dateien auf unsichere Weise zu erzeugen. Für Fedora 24 und 25 stehen Sicherheitsupdates in Form des Paketes onionshare-0.9.1-1 im Status 'testing' bereit. Patch: Fedora Security Update FEDORA-2017-cdf8277947 (Fedora 24, onionshare-0.9.1-1.fc24) https://bodhi.fedoraproject.org/updates/FEDORA-2017-cdf8277947

Patch:

Fedora Security Update FEDORA-2017-e6a9108cce (Fedora 25,
onionshare-0.9.1-1.fc25)

https://bodhi.fedoraproject.org/updates/FEDORA-2017-e6a9108cce

CVE-2016-5026: Schwachstelle in OnionShare ermöglicht unsicheres Erzeugen
temporärer Dateien

Eine Schwachstelle in OnionShare basiert auf der Benutzung von
‘/tmp/onionshare’ als temporäres Verzeichnis, in dem zwei Dateien
gespeichert werden, eine für den Rechnernamen des versteckten Dienstes und
eine weitere für den privaten Schlüssel. OnionShare überprüft allerdings
weder den Eigentümer noch die Berechtigungen des Verzeichnisses, wodurch
einem Angreifer durch Anlegen, Manipulieren, Lesen oder Löschen der beiden
Dateien verschiedene weitere Angriffe ermöglicht werden, indem er selber das
Verzeichnis mit sich als Eigentümer anlegt.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-0017/

Fedora Security Update FEDORA-2017-cdf8277947 (Fedora 24,
onionshare-0.9.1-1.fc24):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-cdf8277947

Fedora Security Update FEDORA-2017-e6a9108cce (Fedora 25,
onionshare-0.9.1-1.fc25):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-e6a9108cce

Schwachstelle CVE-2016-5026 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-5026

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben