Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

SUSE Linux Enterprise Desktop 11 SP3
SUSE Linux Enterprise Server 11 SP3
SUSE Linux Enterprise Server 11 SP3 VMware

Betroffene Plattformen:

SUSE Linux Enterprise Desktop
SUSE Linux Enterprise Server

Zwei Schwachstellen in KDirStat ermöglichen es einem lokalen, nicht
authentisierten Angreifer beliebigen Programmcode auszuführen.

Patch:

SUSE Security Update: SUSE-SU-2014:0930-1

https://www.suse.com/support/update/announcement/2014/suse-su-20140930-1.html

CVE-2014-2528: KDirStat: Schwachstelle ermöglicht das Ausführen von
beliebigem Programmcode

Es besteht eine Schwachstelle bei der Verarbeitung von Hochkommata ( ‘ )
innerhalb des Werkzeugs KDirStat (KDE Directory Statistics). Ein lokaler,
nicht authentifizierter Angreifer, kann, durch die permanente Löschung eines
manipulierten Verzeichnisses, beliebigen Programmcode zur Ausführung
bringen.

CVE-2014-2527: KDirStat: Schwachstelle ermöglicht das Ausführen von
beliebigem Programmcode

Es besteht eine Schwachstelle bei der Verarbeitung von Anführungszeichen ( ”
) innerhalb des Werkzeugs KDirStat (KDE Directory Statistics). Ein lokaler,
nicht authentifizierter Angreifer, kann durch die permanente Löschung eines
manipulierten Verzeichnisses beliebigen Programmcode zur Ausführung bringen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-1002/

Schwachstelle CVE-2014-2527 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-2527

Schwachstelle CVE-2014-2528 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-2528

SUSE Security Update: SUSE-SU-2014:0930-1:
https://www.suse.com/support/update/announcement/2014/suse-su-20140930-1.html

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.