Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Red Hat Enterprise Virtualization 4

Betroffene Plattformen:

Red Hat Enterprise Linux 7
Red Hat Gluster Storage 3.1 for RHEL 6
Red Hat Gluster Storage 3.1 for RHEL 7

Eine Schwachstelle in dem von Red Hat Gluster Storage und Red Hat
Virtualization verwendeten GlusterFS ermöglicht es einem lokalen, nicht
authentisierten Angreifer die eigenen Privilegien auf ‘Root’-Berechtigungen
zu eskalieren.

Red hat stellt für Red Hat Gluster Storage 3.1 für Red Hat Enterprise 6 und
7 sowie für Red Hat Virtualization für Red Hat Enterprise 7
Sicherheitsupdates bereit.

Patch:

Red Hat Security Advisory RHSA-2017:0484

http://rhn.redhat.com/errata/RHSA-2017-0484.html

Patch:

Red Hat Security Advisory RHSA-2017:0486

http://rhn.redhat.com/errata/RHSA-2017-0486.html

CVE-2015-1795: Schwachstelle in GlusterFS ermöglicht Privilegieneskalation

Die GlusterFS ‘.spec’-Datei speichert ein Shell-Skript in eine Datei mit
einem vorhersagbaren temporären Dateinamen. Ein lokaler, nicht
authentisierter Angreifer kann dies ausnutzen und durch Modifikation des
Shell-Skriptes bei der Installation der ‘glusterfs’-Pakete die eigenen
Privilegien auf ‘Root’-Berechtigungen eskalieren,

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-0517/

Red Hat Security Advisory RHSA-2017:0484:
http://rhn.redhat.com/errata/RHSA-2017-0484.html

Red Hat Security Advisory RHSA-2017:0486:
http://rhn.redhat.com/errata/RHSA-2017-0486.html

Schwachstelle CVE-2015-1795 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-1795

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.