Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Betroffene Software:
Perl
Betroffene Plattformen:
Red Hat Fedora 19
Red Hat Fedora 20
Ein lokaler, nicht authentifizierter Angreifer kann die Schwachstelle
nutzen, um beliebig Dateien mit erweiterten Rechten zu manipulieren.
Patch:
Fedora Update FEDORA-2014-3891
https://admin.fedoraproject.org/updates/FEDORA-2014-3891/perltidy-20130922-1.fc19
Patch:
Fedora Update FEDORA-2014-3874
https://admin.fedoraproject.org/updates/FEDORA-2014-3874/perltidy-20130922-1.fc20
CVE-2014-2277: perltidy: Unsichere Erzeugung von temporären Dateien
Die Funktion “make_temporary_filename” innerhalb des Tools perltidy erzeugt,
über die “tmpnam” Funktion, unsichere temporäre Dateien. Ein lokaler, nicht
authentifizierter Angreifer kann über einen symbolischen Link beliebige
Dateien mit erweiterten Rechten manipulieren (symbolic link attack).
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-0323/
Schwachstelle CVE-2014-2277 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-2277
Fedora Update FEDORA-2014-3891:
https://admin.fedoraproject.org/updates/FEDORA-2014-3891/perltidy-20130922-1.fc19
Fedora Update FEDORA-2014-3874:
https://admin.fedoraproject.org/updates/FEDORA-2014-3874/perltidy-20130922-1.fc20
(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.
