DFN-CERT-2015-0894 GNU Patch: Mehrere Schwachstellen ermöglichen die Manipulation von Dateien [Linux]

DFN-CERT-2015-0894 GNU Patch: Mehrere Schwachstellen ermöglichen die Manipulation von Dateien [Linux]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

GNU Patch

Betroffene Plattformen:

Canonical Ubuntu Linux 12.04 Lts
Canonical Ubuntu Linux 14.04 Lts
Canonical Ubuntu Linux 14.10

Mehrere Schwachstellen in GNU Patch ermöglichen auch einem entfernten, nicht
authentifizierten Angreifer Dateien zu manipulieren. Ein lokaler, nicht
authentifizierter Angreifer kann zudem noch einen Denial-of-Service-Angriff
durchführen.

Canonical stellt Sicherheitsupdates für Ubuntu 14.10, Ubuntu 14.04 LTS und
Ubuntu 12.04 LTS bereit.

Patch:

Ubuntu Security Notice USN-2651-1

http://www.ubuntu.com/usn/usn-2651-1/

CVE-2015-1396: Schwachstelle in Patch-Werkzeug ermöglicht das Manipulieren
von Dateien

Eine Schwachstelle im GNU Patch-Werkzeug ermöglicht durch die Verwendung von
symbolischen Links, eine Verzeichnis-Traversierung durchzuführen. Dadurch
ist es möglich, beliebige Dateien zu überschreiben, auf die der Benutzer
Zugriff hat. Ein entfernter, nicht authentifizierter Angreifer kann durch
einen präparierten Patch beliebige Dateien manipulieren.

CVE-2015-1395: Schwachstelle in Patch-Werkzeug ermöglicht das Manipulieren
von Dateien

Eine Schwachstelle im GNU Patch-Werkzeug ermöglicht es bei der Umbenennung
einer Datei eine Verzeichnis-Traversierung durchzuführen. Dadurch ist es
möglich beliebige Dateien, auf die der Benutzer Zugriff hat, zu
überschreiben. Ein entfernter, nicht authentifizierter Angreifer kann durch
einen präparierten Patch beliebige Dateien manipulieren.

CVE-2014-9637: Schwachstelle in Patch-Werkzeug ermöglicht Denial-of-Service

Eine Schwachstelle wurde im GNU Patch-Werkzeug gefunden. Ein lokaler, nicht
authentisierter Angreifer kann diese Schwachstelle ausnutzen, mittels eines
präparierten Patches, um einen partiellen Denial-of-Service-Zustand
herbeizuführen.

CVE-2015-1196: Schwachstelle in Patch-Werkzeug ermöglicht das Manipulieren
von Dateien

Eine Verzeichnis-Traversal-Schwachstelle im GNU Patch-Werkzeug ermöglicht
das Überschreiben von beliebigen Dateien, auf denen der Benutzer, der die
präparierte Patch-Datei ausführt, Schreibrechte hat. Ein entfernter, nicht
authentifizierter Angreifer kann die Schwachstelle ausnutzen, um Dateien zu
manipulieren.

CVE-2010-4651: Schwachstelle in Patch-Werkzeug ermöglicht das Manipulieren
von Dateien

Das Programm Patch erlaubt “..” in Pfadnamen zu verwenden, was dazu führt,
dass auch Dateien oberhalb des aktuellen Pfads erzeugt werden können. Einem
lokalen, nicht authentifizierten Angreifer ist es damit möglich, beliebige
Dateien auf dem Dateisystem zu erzeugen, indem er speziell präparierte Pfade
in einer Patch-Datei verwendet.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-0894/

Schwachstelle CVE-2015-1196 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-1196

Schwachstelle CVE-2014-9637 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-9637

Schwachstelle CVE-2015-1395 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-1395

Schwachstelle CVE-2015-1396 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-1396

Ubuntu Security Notice USN-2651-1:
http://www.ubuntu.com/usn/usn-2651-1/

Schwachstelle CVE-2010-4651 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2010-4651

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben