DFN-CERT-2014-0007 Devscripts: Eine Schwachstelle ermöglicht das Ausführen beliebigen Programmcodes [Linux][Debian]

DFN-CERT-2014-0007 Devscripts: Eine Schwachstelle ermöglicht das Ausführen beliebigen Programmcodes [Linux][Debian]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Devscripts <= 2.12.5 Betroffene Plattformen: Debian Linux 7.3 Wheezy Wird eine durch einen entfernten, nicht authentifizierten Angreifer manipulierte TAR-Datei mit uscan heruntergeladen, wird darin eingebetteter, beliebiger Programmcode des Angreifers mit den Rechten des uscan verwendenden Benutzers ausgeführt. Patch: Debian Security Advisory DSA-2836 http://www.debian.org/security/2014/dsa-2836

CVE-2013-6888: Programmausführung durch uscan

Unter diesem CVE-Bezeichner werden verschiedene Schwachstellen in dem
Werkzeug uscan zusammengefasst. Wird uscan dazu verwendet, von einer durch
einen Angreifer kontrollierte Web-Seite Quellcode als TAR-Datei
herunterzuladen, wird durch den Angreifer eingefügter Programmcode mit den
Rechten des ausführenden Benutzers ausgeführt.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-0007/

Debian Security Advisory DSA-2836:
http://www.debian.org/security/2014/dsa-2836

Schwachstelle CVE-2013-6888 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-6888

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.

© COMPUTEC MEDIA GmbH
Nach oben