DFN-CERT-2018-0086 OBS Toolchain: Eine Schwachstelle ermöglicht das Ausführen beliebigen Programmcodes [Linux][Fedora]

DFN-CERT-2018-0086 OBS Toolchain: Eine Schwachstelle ermöglicht das Ausführen beliebigen Programmcodes [Linux][Fedora]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Open Build Service (OBS)

Betroffene Plattformen:

Red Hat Fedora 26
Red Hat Fedora 27

Eine Schwachstelle in osc vor Version 0.162 und obs-service-source_validator
vor Version 0.7, Teile der Open Build Service (OBS)-Toolchain, ermöglicht
einem wahrscheinlich entfernten, nicht authentisierter Angreifer beliebigen
Programmcode während der Expansion von Macros zur Ausführung zu bringen.

Für Fedora 26 und 27 stehen Sicherheitsupdates in Form der Pakete
‘osc-0.162.1-230.1.1.fc26’, osc-source_validator-0.10-1.fc26 sowie
‘osc-0.162.1-230.1.1.fc27’ und ‘osc-source_validator-0.10-1.fc27’ im Status
‘testing’ zur Behebung dieser Schwachstelle bereit.

Patch:

Fedora Security Update FEDORA-2018-903354c26c (Fedora 26,
osc-0.162.1-230.1.1.fc26, osc-source_validator-0.10-1.fc26)

https://bodhi.fedoraproject.org/updates/FEDORA-2018-903354c26c

Patch:

Fedora Security Update FEDORA-2018-ac8aab1f7a (Fedora 27,
osc-0.162.1-230.1.1.fc27, osc-source_validator-0.10-1.fc27)

https://bodhi.fedoraproject.org/updates/FEDORA-2018-ac8aab1f7a

CVE-2017-9274: Schwachstelle in OBS-Toolchain ermöglicht nicht näher
spezifizierte Angriffe

Eine nicht weiter beschriebene Schwachstelle in der Open Build Service
(OBS)-Toolchain im Paket ‘obs-service-source_validator’ existiert aufgrund
der (potentiell unsicheren) Verwendung von ‘rpmbuild’ zum Extrahieren von
Sources, Patches etc. aus einer ‘spec’.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2018-0086/

Schwachstelle CVE-2017-9274 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-9274

Fedora Security Update FEDORA-2018-903354c26c (Fedora 26,
osc-0.162.1-230.1.1.fc26, osc-source_validator-0.10-1.fc26):
https://bodhi.fedoraproject.org/updates/FEDORA-2018-903354c26c

Fedora Security Update FEDORA-2018-ac8aab1f7a (Fedora 27,
osc-0.162.1-230.1.1.fc27, osc-source_validator-0.10-1.fc27):
https://bodhi.fedoraproject.org/updates/FEDORA-2018-ac8aab1f7a

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben