DFN-CERT-2017-1964 Catalyst-Plugin: Eine Schwachstelle ermöglicht das Ausspähen von Informationen [Linux][Fedora]

DFN-CERT-2017-1964 Catalyst-Plugin: Eine Schwachstelle ermöglicht das Ausspähen von Informationen [Linux][Fedora]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Catalyst < 0.34 Betroffene Plattformen: Red Hat Fedora 25 Red Hat Fedora 26 Ein entfernter, nicht authentisierter Angreifer kann eine Schwachstelle im Modul 'Catalyst::Plugin::Static::Simple' ausnutzen, um unberechtigten Zugriff auf Dateien zu erhalten. Für Fedora 25 und 26 stehen Sicherheitsupdates für das Catalyst-Plugin auf Version 0.34 im Status 'testing' bereit. Patch: Fedora Security Update FEDORA-2017-184d078d87 (Fedora 25, perl-Catalyst-Plugin-Static-Simple-0.34-1) https://bodhi.fedoraproject.org/updates/FEDORA-2017-184d078d87

Patch:

Fedora Security Update FEDORA-2017-5cb8354008 (Fedora 26,
perl-Catalyst-Plugin-Static-Simple-0.34-1)

https://bodhi.fedoraproject.org/updates/FEDORA-2017-5cb8354008

CVE-2017-16248: Schwachstelle in Catalyst-Plugin ermöglicht Ausspähen von
Informationen

Das Modul ‘Catalyst::Plugin::Static::Simple’ für Perl ermöglicht vor Version
0.34 Zugriff auf alle Dateien in einem Verzeichnis, wenn an beliebiger
Stelle im Pfadname ein Punkt (‘.’) auftritt. Der Zugriff sollte nur möglich
sein, wenn der Dateiname selbst ein solches Zeichen enthält.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-1964/

Schwachstelle CVE-2017-16248 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-16248

Fedora Security Update FEDORA-2017-184d078d87 (Fedora 25,
perl-Catalyst-Plugin-Static-Simple-0.34-1):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-184d078d87

Fedora Security Update FEDORA-2017-5cb8354008 (Fedora 26,
perl-Catalyst-Plugin-Static-Simple-0.34-1):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-5cb8354008

CPAN Bug #120558 for Catalyst-Plugin-Static-Simple: Will inadvertantly serve
any file if a directory in the path has a dot (.):
https://rt.cpan.org/Public/Bug/Display.html?id=120558

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben