Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Betroffene Software:
Paket libc
Betroffene Plattformen:
Alle unterstÃŒtzten Versionen von FreeBSD.
Eine Schwachstelle in der Libc-Funktion nsdispatch() erlaubt einem
entfernten Angreifer schlimmstenfalls beliebigen Code mit root-Rechten
auszufÃŒhren.
Software Upgrade:
Der Hersteller stellt Updates zur Behebung der Schwachstelle bereit.
http://security.freebsd.org/patches/
freebsd-nsdispatch-2011-12-27: Schwachstelle in Libc
In der Funktion nsdispatch wird nicht geprÃŒft, ob eine chroot-Umgebung aktiv
ist. Dies hat zur Folge, dass Pfade fÃŒr Konfigurationsdateien und gemeinsame
Bibliotheken möglicherweise nicht vertrauenswÌrdig sind. Die Funktion wird
in einigen Diensten verwendet, unter anderem dem FTP-Daemon (ftpd). Einem
Angreifer der Zugang zu einem Account hat ist es damit möglich, unter der
Voraussetzung das “chroot” verwendet wurde, beliebigen Code mit root-Rechten
auszufÃŒhren.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2011-1966/
Das Hersteller Advisory:
http://security.FreeBSD.org/advisories/FreeBSD-SA-11:07.chroot.asc
(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.
