Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Simple Streams 0.1.0

Betroffene Plattformen:

Canonical Ubuntu Linux 14.04 Lts
Canonical Ubuntu Linux 15.04

Ein entfernter, nicht authentifizierter Angreifer kann durch das Ausnutzen
der Schwachstelle einen Denial-of-Service (DoS)-Angriff durchführen oder
beliebigen Programmcode ausführen.

Canonical stellt für die Distributionen Ubuntu 15.04 und 14.04 LTS
Sicherheitsupdates zur Verfügung.

Patch:

Ubuntu Security Notice USN-2746-1

http://www.ubuntu.com/usn/usn-2746-1/

CVE-2015-1337: Schwachstelle in simplestreams ermöglicht die Ausführung
beliebigen Programmcodes

Simple Streams für Ubuntu enthält eine Schwachstelle aufgrund nicht
ordnungsgemäß durchgeführter ‘gpg’-Prüfungen in einigen Situationen. Einem
Angreifer wird dadurch ein Man-in-the-Middle-Angriff ermöglicht, durch den
er manipulierte Inhalte in den Stream einschleusen kann, um eine Anwendung,
welche Simple Streams verwendet, zum Absturz (Denial-of-Service) oder
beliebigen Programmcode zur Ausführung zu bringen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-1491/

Ubuntu Security Notice USN-2746-1:
http://www.ubuntu.com/usn/usn-2746-1/

Schwachstelle CVE-2015-1337 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-1337

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.