DFN-CERT-2017-0899 Perltidy: Eine Schwachstelle ermöglicht die Manipulation von Dateien [Linux][Fedora]

DFN-CERT-2017-0899 Perltidy: Eine Schwachstelle ermöglicht die Manipulation von Dateien [Linux][Fedora]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Perltidy < 20170521 Betroffene Plattformen: Red Hat Fedora 24 Red Hat Fedora 25 Red Hat Fedora 26 Ein lokaler, nicht authentisierter Angreifer kann eine Schwachstelle in Perltidy ausnutzen, um lokale Dateien zu manipulieren. Der Hersteller stellt die Version 20170521 als Sicherheitsupdate für Perltidy zur Verfügung, um diese Schwachstelle und eine Reihe weiterer Fehler zu beheben. Für Fedora 24, 25 und 26 stehen Sicherheitsupdates für Perltidy auf die aktuelle Version bereit, welche sich derzeit noch im Status 'pending' befinden. Patch: Fedora Security Update FEDORA-2017-1f11501a9f (perltidy-20170521-1.fc24) https://bodhi.fedoraproject.org/updates/FEDORA-2017-1f11501a9f

Patch:

Fedora Security Update FEDORA-2017-a3c7d077c7 (perltidy-20170521-1.fc25)

https://bodhi.fedoraproject.org/updates/FEDORA-2017-a3c7d077c7

Patch:

Fedora Security Update FEDORA-2017-c76259ddea (perltidy-20170521-1.fc26)

https://bodhi.fedoraproject.org/updates/FEDORA-2017-c76259ddea

Patch:

Perltidy 20170521 Change Log

http://cpansearch.perl.org/src/SHANCOCK/Perl-Tidy-20170521/CHANGES

CVE-2016-10374: Schwachstelle in Perltidy ermöglicht Manipulation von
Dateien

Perltidy hat bis inklusive Version 20160302 keinen Schutzmechanismus gegen
Symlink-Attacken. Über eine speziell präparierte Datei mit dem Namen
‘perltidy.ERR’ im aktuellen Arbeitsverzeichnis können so andere Dateien auf
dem System manipuliert werden.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-0899/

Schwachstelle CVE-2016-10374 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-10374

Fedora Security Update FEDORA-2017-1f11501a9f (perltidy-20170521-1.fc24):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-1f11501a9f

Fedora Security Update FEDORA-2017-a3c7d077c7 (perltidy-20170521-1.fc25):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-a3c7d077c7

Fedora Security Update FEDORA-2017-c76259ddea (perltidy-20170521-1.fc26):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-c76259ddea

Perltidy 20170521 Change Log:
http://cpansearch.perl.org/src/SHANCOCK/Perl-Tidy-20170521/CHANGES

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben