DFN-CERT-2014-1599 Clang: Eine Schwachstelle ermöglicht das Ausspähen von Informationen [Linux][Fedora]

DFN-CERT-2014-1599 Clang: Eine Schwachstelle ermöglicht das Ausspähen von Informationen [Linux][Fedora]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Clang <= 3.5 Betroffene Plattformen: Extra Packages for Red Hat Enterprise Linux 6 Extra Packages for Red Hat Enterprise Linux 7 Durch Ausnutzen dieser Schwachstelle kann ein lokaler, nicht authentifizierter Angreifer sensible Informationen ausspähen oder beliebige Dateien überschreiben. Für Extra Packages for Red Hat Enterprise Linux 6 und 7 werden Sicherheitsupdates in der Form aktualisierter Pakete von llvm-3.4.2 bereitgestellt, um diese Schwachstelle zu beheben. Patch: Fedora Security Update FEDORA-EPEL-2014-4411 https://admin.fedoraproject.org/updates/FEDORA-EPEL-2014-4411/llvm-3.4.2-3.el6

Patch:

Fedora Security Update FEDORA-EPEL-2014-4463

https://admin.fedoraproject.org/updates/FEDORA-EPEL-2014-4463/llvm-3.4.2-3.el7

CVE-2014-2893: Schwachstelle in llvm Clang erlaubt sensible Informationen
auszuspähen und beliebige Dateien zu überschreiben

Eine Schwachstelle besteht in der Funktion GetHTMLRunDir im
“scan-build”-Werkzeug in Clang 3.5, einem Bestandteil von llvm. Ein lokaler,
nicht authentifizierter Angreifer kann diese Schwachstelle ausnutzen, über
einen Symlink-Angriff auf ein temporäres Verzeichnis mit voraussagbaren
Namen, um sensible Informationen auszuspähen oder beliebigen Dateien zu
überschreiben.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-1599/

Schwachstelle CVE-2014-2893 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-2893

Fedora Security Update FEDORA-EPEL-2014-4411:
https://admin.fedoraproject.org/updates/FEDORA-EPEL-2014-4411/llvm-3.4.2-3.el6

Fedora Security Update FEDORA-EPEL-2014-4463:
https://admin.fedoraproject.org/updates/FEDORA-EPEL-2014-4463/llvm-3.4.2-3.el7

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben