DFN-CERT-2013-1732 glibc: Mehrere Schwachstellen erlauben das Ausführen von beliebigen Befehlen. [Linux][Fedora][RedHat][SuSE][Unix]

DFN-CERT-2013-1732 glibc: Mehrere Schwachstellen erlauben das Ausführen von beliebigen Befehlen. [Linux][Fedora][RedHat][SuSE][Unix]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

GNU glibc <= 2.15 openSUSE <= 12.3 Red Hat Enterprise Linux <= 5 Red Hat Enterprise Linux <= 6 Red Hat Fedora <= 18 Red Hat Fedora <= 19 Red Hat Fedora <= 20 Betroffene Plattformen: Fedora Linux RedHat SuSE UNIX Mehrere Schwachstellen in der glibc ermöglichen es einem entfernten, nicht authentifizierten Angreifer, beliebige Befehle im Kontext des Kernel auszuführen. Patch: Fedora Update FEDORA-2013-17423 (fc20) https://admin.fedoraproject.org/updates/FEDORA-2013-17423

Patch:

Fedora Update Notification FEDORA-2013-17475 (fc19)

https://admin.fedoraproject.org/updates/FEDORA-2013-17475

Patch:

Red Hat Security Advisory RHSA-2013-0769

http://rhn.redhat.com/errata/RHSA-2013-0769.html

Patch:

openSUSE Security Update openSUSE-SU-2013:1510-1

http://lists.opensuse.org/opensuse-updates/2013-09/msg00072.html

Patch:

Fedora Update Notification FEDORA-2013-15072 (fc18)

https://admin.fedoraproject.org/updates/FEDORA-2013-15072

CVE-2013-4237: Schwachstelle in der Funktion readdir_r() der glibc

Die Funktion readdir_r() der GNU libc Bibliothek (glibc) behandelt
Verzeichniseinträge in unsicherer Weise, wenn diese länger als der vom
Linux-Kernel als Konstante gesetzter Wert NAME_MAX wird. Dies kann, z.B. im
Fall von NTFS oder CIFS Dateisystemen, zum Schreiben über Speichergrenzen
hinaus führen. Ein entfernter Angreifer kann diese Schwachstelle ausnutzen,
um Anwendungen, die diese Funktion verwenden, zum Absturz oder beliebige
Befehle mit den Rechten des Anwenders zur Ausführung zu bringen.

CVE-2013-1914: Schwachstelle in der Funktion getaddrinfo() der glibc

In der Funktion getaddrinfo() in der GNU libc Bibliothek (glibc) wird der
verwendete Stackspeicher bei der Namensauflösung nicht ausreichend begrenzt.
Ein Angreifer kann durch präparierte Hostnamen den gesamten Stackspeicher in
der Anwendung aufbrauchen und einen Denial-of-Service-Zustand verursachen.
Hierzu reicht es auch aus, wenn der Angreifer z.B. den Hostnamen, den eine
Anwendung auflösen will, zu kontrollieren.

CVE-2013-0242: Schwachstelle in glibc bei der Verarbeitung von regulären
Ausdrücken

In der Bibliothek GNU libc Bibliothek (glibc) kann es bei der Verarbeitung
von regulären Ausdrücken zu einem Überlauf des Puffers kommen. Hierdurch
kann ein Angreifer bei der Verwendung von präparierten Eingaben die
Anwendung zum Absturz bringen.

CVE-2012-4412: Schwachstelle in der Funktion strcoll() der glibc

Die Funktion strcoll() der GNU libc Bibliothek (glibc) führt die Berechnung
von Speicherbedarf und Speicherzuweisung fehlerhaft aus und durch einen
Ganzzahlüberlauf kann es zu einem Speicherüberlauf führen. Ein Angreifer
kann diese Schwachstelle ausnutzen, um eine Anwendung, die Benutzereingaben
unzureichend filtert, zum Absturz oder beliebige Befehle mit den Rechten des
Anwenders zur Ausführung zu bringen.

CVE-2013-4332: Drei Integer-Überläufe in der glibc

Es existieren drei Integer-Überläufe bei der Anforderung und Zuordnung von
Speicher über die glibc, über die keine weiteren Informationen bekannt sind.

CVE-2013-2207: Schwachstelle in der Funktion pt_chown() der glibc ermöglicht
unberechtigten Lese- und Schreib-Zugriff

Die Funktion pt_chown() der GNU libc Bibliothek (glibc) behandelt den
Wechsel von Berechtigungen in unsicherer Weise. Ein lokaler Angreifer kann
diese Schwachstelle ausnutzen, um unberechtigten Lese- und Schreib-Zugang zu
erhalten.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2013-1732/

Schwachstelle CVE-2013-2207 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-2207

Fedora Update FEDORA-2013-17423 (fc20):
https://admin.fedoraproject.org/updates/FEDORA-2013-17423

Schwachstelle CVE-2013-4332 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-4332

Fedora Update Notification FEDORA-2013-17475 (fc19):
https://admin.fedoraproject.org/updates/FEDORA-2013-17475

Schwachstelle CVE-2012-4412 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2012-4412

Schwachstelle CVE-2013-0242 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-0242

Schwachstelle CVE-2013-1914 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-1914

Red Hat Security Advisory RHSA-2013-0769:
http://rhn.redhat.com/errata/RHSA-2013-0769.html

openSUSE Security Update openSUSE-SU-2013:1510-1:
http://lists.opensuse.org/opensuse-updates/2013-09/msg00072.html

Schwachstelle CVE-2013-4237 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-4237

Fedora Update Notification FEDORA-2013-15072 (fc18):
https://admin.fedoraproject.org/updates/FEDORA-2013-15072

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.

© COMPUTEC MEDIA GmbH
Nach oben