Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

iucode-tool

Betroffene Plattformen:

Canonical Ubuntu Linux 16.04 LTS
Canonical Ubuntu Linux 16.10

Eine Schwachstelle in iucode-tool ermöglicht einem entfernten, nicht
authentisierten Angreifer die Ausführung beliebigen Programmcodes oder die
Durchführung eines Denial-of-Service (DoS)-Angriffs.

Canonical stellt für die Distributionen Ubuntu 16.10 und 16.04 LTS
Sicherheitsupdates bereit.

Patch:

Ubuntu Security Notice USN-3186-1

http://www.ubuntu.com/usn/usn-3186-1/

CVE-2017-0357: Schwachstelle in iucode-tool ermöglicht Ausführung beliebigen
Programmcodes

In iucode-tool existiert eine Schwachstelle aufgrund des falschen Umgangs
mit bestimmten Mikrocodes bei der Verwendung des ‘-tr’-Ladeprogramms. Ein
entfernter, nicht authentisierter Angreifer kann diese Schwachstelle
ausnutzen, indem er einen Benutzer dazu verleitet speziell präparierten
Mikrocode zu verarbeiten, wodurch die Anwendung abstürzt und in einen
Denial-of-Service-Zustand gerät oder beliebigen Programmcode zur Ausführung
zu bringen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-0197/

Ubuntu Security Notice USN-3186-1:
http://www.ubuntu.com/usn/usn-3186-1/

Schwachstelle CVE-2017-0357 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-0357

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.