DFN-CERT-2017-0929 picocom: Eine Schwachstelle ermöglicht die Ausführung beliebigen Programmcodes [Linux][Fedora]

DFN-CERT-2017-0929 picocom: Eine Schwachstelle ermöglicht die Ausführung beliebigen Programmcodes [Linux][Fedora]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

picocom < 2.0 Betroffene Plattformen: Red Hat Fedora 24 Red Hat Fedora 25 Extra Packages for Red Hat Enterprise Linux 6 Ein lokaler, nicht authentisierter Angreifer kann eine Schwachstelle in picocom bis Version 2.0 ausnutzen, um beliebigen Programmcode auszuführen. Der Hersteller hat die Schwachstelle mit Version 2.0 der Software behoben. Die letzte verfügbare Version ist 2.2 (Oktober 2016). Für Fedora 24 und 25 sowie Fedora EPEL 6 stehen Sicherheitsupdates auf picocom 2.2 im Status 'testing' bereit. Patch: Fedora Security Update FEDORA-2017-ac7fc2fd8c (picocom-2.2-2.fc25) https://bodhi.fedoraproject.org/updates/FEDORA-2017-ac7fc2fd8c

Patch:

Fedora Security Update FEDORA-2017-f942f19ff4 (picocom-2.2-2.fc24)

https://bodhi.fedoraproject.org/updates/FEDORA-2017-f942f19ff4

Patch:

Fedora Security Update FEDORA-EPEL-2017-4e87b6e6a8 (picocom-2.2-2.el6)

https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2017-4e87b6e6a8

Patch:

picocom 2.0 Release Notes

https://github.com/npat-efault/picocom/releases/tag/2.0

CVE-2015-9059: Schwachstelle in picocom ermöglicht Ausführung beliebigen
Programmcodes

picocom verwendet bis Version 2.0 ‘/bin/sh’ zur Ausführung externer Befehle.
Durch den Befehl ‘send and receive file’ lässt sich mit Hilfe speziell
präparierter Kommandozeilenargumente beliebiger Programmcode injizieren.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-0929/

Fedora Security Update FEDORA-2017-ac7fc2fd8c (picocom-2.2-2.fc25)
:
https://bodhi.fedoraproject.org/updates/FEDORA-2017-ac7fc2fd8c

Fedora Security Update FEDORA-2017-f942f19ff4 (picocom-2.2-2.fc24):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-f942f19ff4

Fedora Security Update FEDORA-EPEL-2017-4e87b6e6a8 (picocom-2.2-2.el6):
https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2017-4e87b6e6a8

picocom 2.0 Release Notes:
https://github.com/npat-efault/picocom/releases/tag/2.0

Schwachstelle CVE-2015-9059 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-9059

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben