Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

sudo < 1.8.16 Betroffene Plattformen: Red Hat Fedora 22 Red Hat Fedora 23 Ein entfernter, einfach authentifizierter Angreifer kann eine Schwachstelle ausnutzen, um den Programmcode einer Anwendung zwischen Prüfung des zugehörigen Streuwerts (Hash) und Eingabe des Passworts für 'sudo' durch beliebigen Programmcode zu ersetzen. Der Hersteller behebt die Schwachstelle in sudo 1.8.16. Für Fedora 22 und 23 stehen Sicherheitsupdates auf sudo 1.8.17p1 im Status 'testing' bereit, um die Schwachstelle zu beheben. Patch: Fedora Security Update FEDORA-2016-90836ca57d (Fedora 22) https://bodhi.fedoraproject.org/updates/FEDORA-2016-90836ca57d

Patch:

Fedora Security Update FEDORA-2016-f1e8e27e27 (Fedora 23)

https://bodhi.fedoraproject.org/updates/FEDORA-2016-f1e8e27e27

CVE-2015-8239: Schwachstelle in sudo ermöglicht Ausführung beliebigen
Programmcodes

Falls ein ausführbares Programm mit vorangestelltem ‘Digest_Spec’
(beispielsweise ‘dgst -sha224’ oder ‘dgst -sha256’) über sudo ausgeführt
wird, kann es zu einer kritischen Wettlaufsituation (Race Condition) kommen,
bevor die Passworteingabemaske angezeigt wird.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2016-1107/

Schwachstelle CVE-2015-8239 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-8239

Fedora Security Update FEDORA-2016-90836ca57d (Fedora 22):
https://bodhi.fedoraproject.org/updates/FEDORA-2016-90836ca57d

Fedora Security Update FEDORA-2016-f1e8e27e27 (Fedora 23):
https://bodhi.fedoraproject.org/updates/FEDORA-2016-f1e8e27e27

Sudo Changelog 1.8.16:
https://www.sudo.ws/stable.html#1.8.16

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.