Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Red Hat Fedora <= 18 Red Hat Fedora <= 19 Red Hat Fedora <= 20 Betroffene Plattformen: Fedora Linux Ein Angreifer kann diese Schwachstelle ausnutzen, um beliebige Befehle zur Ausführung zu bringen. Patch: Fedora Update FEDORA-2013-19101 https://admin.fedoraproject.org/updates/FEDORA-2013-19101/scipy-0.12.1-1.fc20

Patch:

Fedora Update FEDORA-2013-19271

https://admin.fedoraproject.org/updates/FEDORA-2013-19271/scipy-0.12.1-1.fc18

Patch:

Fedora Update FEDORA-2013-19236

https://admin.fedoraproject.org/updates/FEDORA-2013-19236/scipy-0.12.1-1.fc19

CVE-2013-4251: SciPy: Schwachstelle ermöglicht Ausführung von Befehlen

SciPy.weave verwendet das Verzeichnis ‘/tmp/[username]’ zum Ablegen von
temporären Dateien ohne zu prüfen, ob das Verzeichnis bereits existiert, ob
dieses ein SymLink ist und ob dessen Zugriffsberechtigungen ungenügend sind.
Dies ermöglicht einem lokalen Angreifer Code in dieses Verzeichnis zu
platzieren, welcher mit den Rechten des Scriptes SciPy.weave ausgeführt
wird.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2013-1848/

Schwachstelle CVE-2013-4251 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-4251

Fedora Update FEDORA-2013-19101:
https://admin.fedoraproject.org/updates/FEDORA-2013-19101/scipy-0.12.1-1.fc20

Fedora Update FEDORA-2013-19271:
https://admin.fedoraproject.org/updates/FEDORA-2013-19271/scipy-0.12.1-1.fc18

Fedora Update FEDORA-2013-19236:
https://admin.fedoraproject.org/updates/FEDORA-2013-19236/scipy-0.12.1-1.fc19

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.