Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

dpkg

Betroffene Plattformen:

Canonical Ubuntu Linux 10.04 Lts
Canonical Ubuntu Linux 12.04 Lts
Canonical Ubuntu Linux 14.04 Lts
Canonical Ubuntu Linux 14.10
Debian Linux 7.8 Wheezy

Eine Schwachstelle in dpkg ermöglicht einem entfernten, nicht
authentisierten Angreifer das Umgehen von Sicherheitsvorkehrungen.

Canonical stellt für Ubuntu 14.10, Ubuntu 14.04 LTS, Ubuntu 12.04 LTS sowie
Ubuntu 10.04 LTS und Debian für die Distribution Wheezy (7.8)
Sicherheitsupdates zur Verfügung.

Patch:

Debian Security Advisory DSA-3217-1

https://www.debian.org/security/2015/dsa-3217

Patch:

Ubuntu Security Notice USN-2566-1

http://www.ubuntu.com/usn/usn-2566-1/

CVE-2015-0840: Schwachstelle in dpkg erlaubt das Umgehen von
Sicherheitsvorkehrungen

In dpkg werden Signaturen fehlerhaft überprüft, wenn ein lokales Quellpaket
mittels ‘dpkg-source’ extrahiert wird. Wenn ein Benutzer oder ein
automatisiertes System dazu gebracht wird, ein speziell manipuliertes
Quellpaket zu verarbeiten, kann die Signaturverifikation umgangen werden.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-0506/

Debian Security Advisory DSA-3217-1:
https://www.debian.org/security/2015/dsa-3217

Ubuntu Security Notice USN-2566-1:
http://www.ubuntu.com/usn/usn-2566-1/

Schwachstelle CVE-2015-0840 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0840

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.