DFN-CERT-2014-0959 ppc64-diag: Zwei Schwachstellen ermöglichen unter anderem das Erzeugen von unsicheren temporären Dateien [Linux][SuSE]

DFN-CERT-2014-0959 ppc64-diag: Zwei Schwachstellen ermöglichen unter anderem das Erzeugen von unsicheren temporären Dateien [Linux][SuSE]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

ppc64-diag 2.6.1

Betroffene Plattformen:

openSUSE 12.3
openSUSE 13.1
SUSE Linux Enterprise Server 11 SP3

Durch zwei Schwachstellen kann ein lokaler, nicht authentifizierter
Angreifer unsicheren temporären Dateien erzeugen oder sensible Informationen
ausspähen.

Patch:

SUSE Security Update: SUSE-SU-2014:0928-1

http://lists.opensuse.org/opensuse-security-announce/2014-07/msg00018.html

Patch:

openSUSE Security Update: openSUSE-SU-2014:0953-1

http://lists.opensuse.org/opensuse-updates/2014-07/msg00043.html

Patch:

openSUSE Security Update: openSUSE-SU-2014:0953-2

http://lists.opensuse.org/opensuse-updates/2014-07/msg00044.html

CVE-2014-4039: Schwachstelle in ppc64-diag erlaubt das Ausspähen von
Informationen

ppc64-diag 2.6.1 benutzt “0775” Berechtigungen für “/tmp/diagSEsnap” und
beschränkt diese nicht für “/tmp/diagSEsnap/snapH.tar.gz”. Ein lokaler,
nicht authentifizierter Angreifer kann sensible Informationen ausspähen,
indem er Dateien aus dem Archiv liest.

CVE-2014-4038: Schwachstelle in ppc64-diag erlaubt Symlink-Angriffe

Es existiert eine Schwachstelle in ppc64-diag 2.6.1, da temporäre Dateien
auf unsichere Art und Weise angelegt werden. Ein lokaler, nicht
authentifizierter Angreifer kann mit Hilfe von Symbolischen-Links beliebige
Dateien überschreiben.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-0959/

Schwachstelle CVE-2014-4039 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-4039

Schwachstelle CVE-2014-4038 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-4038

SUSE Security Update: SUSE-SU-2014:0928-1:
http://lists.opensuse.org/opensuse-security-announce/2014-07/msg00018.html

openSUSE Security Update: openSUSE-SU-2014:0953-1:
http://lists.opensuse.org/opensuse-updates/2014-07/msg00043.html

openSUSE Security Update: openSUSE-SU-2014:0953-2:
http://lists.opensuse.org/opensuse-updates/2014-07/msg00044.html

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.

© COMPUTEC MEDIA GmbH
Nach oben