DFN-CERT-2014-1193 GNU Lib C: Mehrere Schwachstellen ermöglichen u.a. das Ausführen beliebigen Programmcodes [Linux][SuSE]

DFN-CERT-2014-1193 GNU Lib C: Mehrere Schwachstellen ermöglichen u.a. das Ausführen beliebigen Programmcodes [Linux][SuSE]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

GNU glibc

Betroffene Plattformen:

openSUSE 12.3
openSUSE 13.1

Durch zwei Schwachstellen in GNU Lib C (glibc) ist es einem lokalen, nicht
authentifizierten Angreifer möglich Denial-of-Service-Angriffe durch- oder
beliebigen Programmcode auszuführen. Durch eine Schwachstelle ist es einem
entfernten, authentifizierten Angreifer möglich, Sicherheitsvorkehrungen zu
umgehen.

Patch:

openSUSE Security Update: openSUSE-SU-2014:1115-1

http://lists.opensuse.org/opensuse-updates/2014-09/msg00017.html

CVE-2014-6040: Schwachstelle in GNU Lib C ermöglicht Denial-of-Service

Es existiert eine Schwachstelle in der Codepage Dekodierungsfunktion von GNU
Lib C (glibc). Ein lokaler, nicht authentifizierter Angreifer kann, durch
nicht näher spezifizierte Angriffsvektoren, einen Denial-of-Service-Zustand
verursachen.

CVE-2014-5119: Schwachstelle in EGLIBC/GLIBC ermöglicht das Ausführen
beliebigen Programmcodes

Es existiert eine Schwachstelle in EGLIBC (Debian’s Version von der GNU C
Bibliothek)/GLIBC, welche einen Heap-basierten Pufferüberlauf beim Laden des
Transliteration Moduls erzeugt. Ein lokaler, nicht authentifizierter
Angreifer kann, mit Hilfe von manipulierten Zeichen in einer “iconv”
bezogenen Character-Conversation-Funktion, beliebigen Programmcode
ausführen.

CVE-2014-0475: GNU Lib C: Schwachstelle ermöglicht Umgehung von
Sicherheitsvorkehrungen

Die GNU C Library (glibc) beinhaltet eine Schwachstelle. Die Bibliothek
verarbeitet Pfade, die in speziellen lokalen Umgebungsparametern “..”
Segmente enthalten, derart, dass es einem entfernten, einfach
authentisierten Angreifer möglich ist, mit Hilfe von manipulierten
Umgebungsparametern, Beschränkungen zu umgehen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-1193/

Schwachstelle CVE-2014-0475 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0475

Schwachstelle CVE-2014-5119 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-5119

openSUSE Security Update: openSUSE-SU-2014:1115-1:
http://lists.opensuse.org/opensuse-updates/2014-09/msg00017.html

Schwachstelle CVE-2014-6040 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-6040

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben