Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Betroffene Software:
mod_wsgi < 4.2.4 Betroffene Plattformen: openSUSE 13.1 Durch Ausnutzen dieser Schwachstelle kann ein angemeldeter Benutzer mit bestimmten Berechtigungen, als Angreifer, einen Denial-of-Service-Angriff durchführen. Für openSUSE 13.1 wurden aktualisierte Pakete von apache2-mod_wsgi bereitgestellt, um den "of-by-one"-Fehler bei der Verwendung von "setgroups" zu beheben, indem ein Grenzwert gesetzt wird für die Anzahl der zusätzlichen Gruppen, welche für einen "daemon"-Prozess erlaubt sind. Patch: openSUSE Security Advisory openSUSE-SU-2014:0943-1 http://lists.opensuse.org/opensuse-updates/2014-07/msg00033.html
openSUSE Bug ID 883229: Schwachstelle in mod_wsgi
Eine “of-by-one-error”-Schwachstelle wurde in “mod_wsgi” festgestellt. Wenn
mehr Gruppen in der Option “supplementary-groups” spezifiziert werden, als
das Betriebssystem zulässt, kann dies zu einer Speicherkorruption führen.
Ein Angreifer im benachbarten Netzwerk, mit der administrativen
Berechtigung, den Konfigurationseintrag “supplementary-groups” zu ändern,
kann diese Schwachstelle ausnutzen, um den Prozess zum Absturz zu bringen,
d.h. er kann einen Denial-of-Service-Angriff durchführen.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-0988/
openSUSE Security Advisory openSUSE-SU-2014:0943-1:
http://lists.opensuse.org/opensuse-updates/2014-07/msg00033.html
Novell Bug Report ID 883229:
https://bugzilla.novell.com/show_bug.cgi?id=883229
(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.
