UPDATE: DFN-CERT-2017-0950 File-Path: Eine Schwachstelle ermöglicht die Manipulation von Dateien [Linux][Debian][Fedora][Unix][OpenBSD]

UPDATE: DFN-CERT-2017-0950 File-Path: Eine Schwachstelle ermöglicht die Manipulation von Dateien [Linux][Debian][Fedora][Unix][OpenBSD]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 3 (06.06.2017):
OpenBSD informiert über die Schwachstellen in OpenBSD 6.0 und OpenBSD 6.1
und stellt zwei unabhängige Patches als Sicherheitsupdates bereit.
Version 2 (06.06.2017):
Debian stellt für die Distributionen Jessie (8.8, stable) und Stretch
(9.0, upcoming stable) Sicherheitsupdates für Perl bereit, um die
File-Path-Schwachstelle zu beheben.
Version 1 (02.06.2017):
Neues Advisory

Betroffene Software:

File-Path < 2.13 Betroffene Plattformen: Debian Linux 8.8 Jessie Debian Linux 9.0 Stretch OpenBSD 6.0 OpenBSD 6.1 Red Hat Fedora 24 Red Hat Fedora 25 Red Hat Fedora 26 Ein lokaler, einfach authentisierter Angreifer kann eine Schwachstelle im Perl-Modul File-Path (File::Path) ausnutzen, um beliebigen Dateien beliebige Berechtigungen zuzuweisen und dadurch weitere Angriffe auf betroffene Systeme auszuführen. Der Hersteller stellt File-Path 2.13 zur Behebung der Schwachstelle zur Verfügung. Für Fedora 24, 25 und 26 stehen Backport-Sicherheitsupdates bereit. Die Sicherheitsupdates für Fedora 24 und 25 besitzen den Status 'testing', während sich das Sicherheitsupdate für Fedora 26 noch im Status 'pending' befindet. Patch: Fedora Security Update FEDORA-2017-212f07c853 (perl-File-Path-2.12-3.fc24) https://bodhi.fedoraproject.org/updates/FEDORA-2017-212f07c853

Patch:

Fedora Security Update FEDORA-2017-4e981a51e6 (perl-File-Path-2.12-367.fc26)

https://bodhi.fedoraproject.org/updates/FEDORA-2017-4e981a51e6

Patch:

Fedora Security Update FEDORA-2017-dd42592f9a (perl-File-Path-2.12-366.fc25)

https://bodhi.fedoraproject.org/updates/FEDORA-2017-dd42592f9a

Patch:

File-Path 2.13 Changelog

https://github.com/jkeenan/File-Path/commit/40f25e22c8d0da8c3834cc34bf8ddd175b8e6813

Patch:

Debian Security Advisory DSA-3873-1

https://www.debian.org/security/2017/dsa-3873

Patch:

OpenBSD 6.0 Errata 26 – 026_perl.patch.sig

https://ftp.openbsd.org/pub/OpenBSD/patches/6.0/common/026_perl.patch.sig

Patch:

OpenBSD 6.1 Errata 10 – 010_perl.patch.sig

https://ftp.openbsd.org/pub/OpenBSD/patches/6.1/common/010_perl.patch.sig

CVE-2017-6512: Schwachstelle in File-Path ermöglicht Manipulation von
Dateien

In den Funktionen ‘rmtree’ und ‘remove_tree’ kann es zu einer
‘Time-of-Check-to-Time-of-Use’ (TOCTTOU) Wettlaufsituation (Race Condition)
zwischen ‘stat’ und ‘chmod’ kommen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-0950/

Fedora Security Update FEDORA-2017-212f07c853 (perl-File-Path-2.12-3.fc24):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-212f07c853

Fedora Security Update FEDORA-2017-4e981a51e6 (perl-File-Path-2.12-367.fc26):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-4e981a51e6

Fedora Security Update FEDORA-2017-dd42592f9a (perl-File-Path-2.12-366.fc25):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-dd42592f9a

File-Path 2.13 Changelog:
https://github.com/jkeenan/File-Path/commit/40f25e22c8d0da8c3834cc34bf8ddd175b8e6813

Schwachstelle CVE-2017-6512 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-6512

Debian Security Advisory DSA-3873-1:
https://www.debian.org/security/2017/dsa-3873

OpenBSD 6.0 Errata 26 – 026_perl.patch.sig:
https://ftp.openbsd.org/pub/OpenBSD/patches/6.0/common/026_perl.patch.sig

OpenBSD 6.1 Errata 10 – 010_perl.patch.sig:
https://ftp.openbsd.org/pub/OpenBSD/patches/6.1/common/010_perl.patch.sig

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben