DFN-CERT-2015-1889 Xsupplicant: Eine Schwachstelle ermöglicht ein unsicheres Erzeugen temporärer Dateien [Linux][Fedora]

DFN-CERT-2015-1889 Xsupplicant: Eine Schwachstelle ermöglicht ein unsicheres Erzeugen temporärer Dateien [Linux][Fedora]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Xsupplicant

Betroffene Plattformen:

Red Hat Fedora 22
Red Hat Fedora 23
Extra Packages for Red Hat Enterprise Linux 6

Durch Ausnutzen einer Schwachstelle im Xsupplicant kann entfernter, nicht
authentisierter Angreifer lesend und schreibend auf temporäre Dateien
zugreifen und damit die Integrität, Vertraulichkeit und Verfügbarkeit des
Systems beeinträchtigen.

Für Fedora 22, 23 und EPEL 6 stehen Sicherheitsupdates in Form der Pakete
xsupplicant-2.2.0-13.fc22, xsupplicant-2.2.0-13.fc23 und
xsupplicant-2.2.0-13.el6 im Status ‘testing’ zur Verfügung.

Patch:

Fedora Security Update FEDORA-2015-020f4b9400 (Fedora 22)

https://bodhi.fedoraproject.org/updates/FEDORA-2015-020f4b9400

Patch:

Fedora Security Update FEDORA-2015-7229638357 (Fedora 23)

https://bodhi.fedoraproject.org/updates/FEDORA-2015-7229638357

Patch:

Fedora Security Update FEDORA-EPEL-2015-c1e2a347ee (EPEL 6)

https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2015-c1e2a347ee

Red Hat Bug ID 1276614: Schwachstelle in Xsupplicant ermögicht unsicheres
Erzeugen temporärer Dateien

In Xsupplicant existiert einen Schwachstelle aufgrund der Verwendung
hartkodierter, fester temporärer Dateien für Sockets, die in
/tmp/xsupplicant.sock.$INTERFACE speichern. Dadurch ist es möglich, lesend
und manipulierend auf die temporären Dateien zuzugreifen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-1889/

Fedora Security Update FEDORA-2015-020f4b9400 (Fedora 22):
https://bodhi.fedoraproject.org/updates/FEDORA-2015-020f4b9400

Fedora Security Update FEDORA-2015-7229638357 (Fedora 23):
https://bodhi.fedoraproject.org/updates/FEDORA-2015-7229638357

Fedora Security Update FEDORA-EPEL-2015-c1e2a347ee (EPEL 6):
https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2015-c1e2a347ee

Red Hat Bug 1276614 – xsupplicant: Usage of fixed temtporary file:
https://bugzilla.redhat.com/show_bug.cgi?id=1276614

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben