DFN-CERT-2017-2017 Back in Time: Eine Schwachstelle ermöglicht das Ausführen beliebigen Programmcodes [Linux][Fedora]

DFN-CERT-2017-2017 Back in Time: Eine Schwachstelle ermöglicht das Ausführen beliebigen Programmcodes [Linux][Fedora]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Back in Time < 1.1.24 Betroffene Plattformen: Red Hat Fedora 25 Red Hat Fedora 26 Red Hat Fedora 27 Ein lokaler, einfach authentisierter Angreifer kann diese Schwachstelle ausnutzen, indem er eine unlesbare Datei mit einem spezifischen Namen präpariert, um beliebigen Programmcode zur Ausführung zu bringen. Fedora stellt für die Distributionen Fedora 25, 26 und 27 Sicherheitsupdates für das Paket 'backintime' auf Version 1.1.24 zur Verfügung. Die Patches befinden sich im Status 'testing'. Patch: Fedora Security Update FEDORA-2017-8016cc0bd0 (Fedora 25, backintime-1.1.24-1) https://bodhi.fedoraproject.org/updates/FEDORA-2017-8016cc0bd0

Patch:

Fedora Security Update FEDORA-2017-898a922aff (Fedora 27,
backintime-1.1.24-1)

https://bodhi.fedoraproject.org/updates/FEDORA-2017-898a922aff

Patch:

Fedora Security Update FEDORA-2017-ebee750022 (Fedora 26,
backintime-1.1.24-1)

https://bodhi.fedoraproject.org/updates/FEDORA-2017-ebee750022

CVE-2017-16667: Schwachstelle in Back in Time ermöglicht Ausführung
beliebiger Shell-Befehle

Eine fehlerhafte Auskommentierung von Dateipfaden, welche als Argument für
den Befehl ‘notify-send’ in ‘qt4/plugins/notifyplugin.py’ verwendet werden,
führt dazu, dass einige Teile des Dateipfades als Shell-Kommandos ausgeführt
werden.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-2017/

Schwachstelle CVE-2017-16667 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-16667

Fedora Security Update FEDORA-2017-8016cc0bd0 (Fedora 25, backintime-1.1.24-1):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-8016cc0bd0

Fedora Security Update FEDORA-2017-898a922aff (Fedora 27, backintime-1.1.24-1):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-898a922aff

Fedora Security Update FEDORA-2017-ebee750022 (Fedora 26, backintime-1.1.24-1):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-ebee750022

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben