Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Paket xorg-x11-apps

Betroffene Plattformen:

Fedora 18

Ein lokaler Angreifer kann eine Schwachstelle im Script x11perfcomp
ausnutzen, um beliebige Befehle mit den Rechten des Benutzers auszuführen.

Software Upgrade:

Der Hersteller stellt Updates zur Behebung der Schwachstelle bereit.

http://dl.fedoraproject.org/pub/fedora/linux/updates/

CVE-2011-2504: Schwachstelle im Script x11perfcomp

Das Script x11perfcomp fügt das aktuelle Verzeichnis (“.”) in der
Umgebungsvariablen “PATH” hinzu. Ein lokaler Angreifer kann diese
Schwachstelle ausnutzen, um beliebige Befehle mit den Rechten des Benutzers
auszuführen. Voraussetzung ist, dass der Benutzer das Script in einem
Verzeichnis aufruft, dessen Inhalte der Angreifer kontrollieren kann.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2013-0085/

Das Hersteller Advisory:
http://lists.fedoraproject.org/pipermail/package-announce/2013-January/096976.html

Schwachstelle CVE-2011-2504:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-2504

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.