DFN-CERT-2014-0114 ack: Schwachstelle erlaubt Ausführung von Anweisungen mit Rechten des Benutzers [Linux][SuSE]

DFN-CERT-2014-0114 ack: Schwachstelle erlaubt Ausführung von Anweisungen mit Rechten des Benutzers [Linux][SuSE]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

openSUSE 13.1

Betroffene Plattformen:

openSUSE

Wenn es einem Angreifer gelingt, Benutzer dazu zu bringen, mit dem Programm
ack vor der Version 2.12 auf entsprechend manipulierte Dateien zuzugreifen,
werden Anweisungen des Angreifers mit den Rechten des Benutzers ausgeführt.

Patch:

openSUSE Security-Advisory openSUSE-SU-2014:0142-1

http://lists.opensuse.org/opensuse-updates/2014-01/msg00094.html

CVE-2013-7069: Ausführung von Programmcode durch Datei .ackrc

Die Schwachstelle besteht durch verschiedene Optionen für ack (–pager,
–regex und –output). Bei der Programmausführung werden auch
projektgebundene ackrc-Dateien ausgewertet. Wenn es einem Angreifer gelingt,
Benutzer dazu zu bringen, mit dem Programm ack auf entsprechend manipulierte
Dateien zuzugreifen, werden Anweisungen des Angreifers mit den Rechten des
Benutzers ausgeführt.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-0114/

Schwachstelle CVE-2013-7069 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-7069

openSUSE Security-Advisory openSUSE-SU-2014:0142-1:
http://lists.opensuse.org/opensuse-updates/2014-01/msg00094.html

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.

© COMPUTEC MEDIA GmbH
Nach oben