Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Betroffene Software:
Paket at-spi2-atk
Betroffene Plattformen:
openSUSE 12.1
Eine Schwachstelle im Libatk-Adaptor ermöglicht einem lokalen Angreifer
vertrauliche Daten zu manipulieren.
Software Upgrade:
Der Hersteller stellt Updates zur Behebung der Schwachstelle bereit.
http://download.opensuse.org/update/
CVE-2012-3378: Schwachstelle im Libatk-Adaptor
Im Libatk-Adaptor wird in der Datei ‘atk-adaptor/bridge.c’ in der Funktion
register_application() das Verzeichnis ‘/tmp/at-spi2/’ erstellt und
verwendet, welches von allen Benutzern gelesen und geschrieben werden kann.
Dies ermöglicht einem lokalen Angreifer temporäre Dateien und Einstellungen
zu manipulieren.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2012-1373/
Das Hersteller Advisory:
http://lists.opensuse.org/opensuse-updates/2012-07/msg00032.html
Schwachstelle CVE-2012-3378:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-3378
(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.
