Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

GPU Driver < 304.125 GPU Driver < 331.113 GPU Driver < 334.21 GPU Driver < 337.25 GPU Driver < 340.76 GPU Driver < 343.36 GPU Driver < 346.72 GPU Driver < 349.16 GPU Driver < 352.09 Betroffene Plattformen: FreeBSD Ein lokaler, nicht authentifizierter Angreifer kann durch Ausnutzen dieser Schwachstelle einen Denial-of-Service (DoS)-Angriff durchführen, Informationen ausspähen, eine Privilegieneskalation durchführen und beliebigen Programmcode auf dem System ausführen. Patch: NVIDIA Answer ID 3693 - CVE-2015-3625: Privilege Escalation via Unsanitized Pointer Dereference in NVIDIA FreeBSD Kernel Driver http://nvidia.custhelp.com/app/answers/detail/a_id/3693

CVE-2015-3625: Schwachstelle in NVIDIA GPU-Treiber ermöglicht das Ausführen
beliebigen Programmcodes

Der NVIDIA GPU-Treiber für FreeBSD validiert Zeiger (“Pointer”) aus dem
Benutzerraum nicht korrekt, bevor diese dereferenziert werden. Dies
ermöglicht lokalen Angreifern mit Zugriffsrechten auf die Gerätedateien
/dev/nvidia* und der Möglichkeit, Programmcode als lokaler Benutzer
auszuführen, durch die Übergabe speziell präparierter Zeiger beliebig in den
Kernel-Speicher zu schreiben und aus diesem zu lesen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-1100/

Schwachstelle CVE-2015-3625 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-3625

NVIDIA Answer ID 3693 – CVE-2015-3625: Privilege Escalation via Unsanitized
Pointer Dereference in NVIDIA FreeBSD Kernel Driver:
http://nvidia.custhelp.com/app/answers/detail/a_id/3693

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.