Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Betroffene Software:
Red Hat Enterprise Linux <= Server 6 RedHat Enterprise Linux Desktop <= 6.0 RedHat Enterprise Linux Workstation <= 6 Betroffene Plattformen: Linux RedHat UNIX Mehrere Schwachstellen in dem Konfigurationswerkzeug Augeas ermöglichen einem lokalen Angreifer beliebige Dateien mit den Rechten eines anderen Benutzers auszulesen oder zu überschreiben. Patch: Red Hat Security Advisory RHSA-2013-1537 http://rhn.redhat.com/errata/RHSA-2013-1537.html
CVE-2012-0787: Schwachstelle in Augeas
Eine Schwachstelle in der clone_file Funktion in der Datei transfer.c prüft
die Fehlercodes der rename Funktion nicht korrekt. Ein lokaler Angreifer
kann durch einen ‘bind mount’ bei der Option ‘backup save’ oder ‘newfile
save’ beliebige Dateien überschreiben oder sensible Informationen auslesen.
CVE-2012-0786: Schwachstelle in Augeas
Eine Schwachstelle in Augeas prüft beim Schreiben von Konfigurationsdateien
symbolische Links nicht korrekt.
Ein lokaler Angreifer kann durch präparierte symbolische Links beliebige
Dateien mit den Rechten eines anderen Benutzers überschreiben oder lesen.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2013-1969/
Schwachstelle CVE-2012-0787 (Red Hat):
https://access.redhat.com/security/cve/CVE-2012-0787
Schwachstelle CVE-2012-0786 (Red Hat):
https://access.redhat.com/security/cve/CVE-2012-0786
Schwachstelle CVE-2012-0786 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2012-0786
Schwachstelle CVE-2012-0787 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2012-0787
Red Hat Security Advisory RHSA-2013-1537:
http://rhn.redhat.com/errata/RHSA-2013-1537.html
(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.
