DFN-CERT-2017-0950 File-Path: Eine Schwachstelle ermöglicht die Manipulation von Dateien [Linux][Fedora]

DFN-CERT-2017-0950 File-Path: Eine Schwachstelle ermöglicht die Manipulation von Dateien [Linux][Fedora]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

File-Path < 2.13 Betroffene Plattformen: Red Hat Fedora 24 Red Hat Fedora 25 Red Hat Fedora 26 Ein lokaler, einfach authentisierter Angreifer kann eine Schwachstelle im Perl-Modul File-Path (File::Path) ausnutzen, um beliebigen Dateien beliebige Berechtigungen zuzuweisen und dadurch weitere Angriffe auf betroffene Systeme auszuführen. Der Hersteller stellt File-Path 2.13 zur Behebung der Schwachstelle zur Verfügung. Für Fedora 24, 25 und 26 stehen Backport-Sicherheitsupdates bereit. Die Sicherheitsupdates für Fedora 24 und 25 besitzen den Status 'testing', während sich das Sicherheitsupdate für Fedora 26 noch im Status 'pending' befindet. Patch: Fedora Security Update FEDORA-2017-212f07c853 (perl-File-Path-2.12-3.fc24) https://bodhi.fedoraproject.org/updates/FEDORA-2017-212f07c853

Patch:

Fedora Security Update FEDORA-2017-4e981a51e6 (perl-File-Path-2.12-367.fc26)

https://bodhi.fedoraproject.org/updates/FEDORA-2017-4e981a51e6

Patch:

Fedora Security Update FEDORA-2017-dd42592f9a (perl-File-Path-2.12-366.fc25)

https://bodhi.fedoraproject.org/updates/FEDORA-2017-dd42592f9a

Patch:

File-Path 2.13 Changelog

https://github.com/jkeenan/File-Path/commit/40f25e22c8d0da8c3834cc34bf8ddd175b8e6813

CVE-2017-6512: Schwachstelle in File-Path ermöglicht Manipulation von
Dateien

In den Funktionen ‘rmtree’ und ‘remove_tree’ kann es zu einer
‘Time-of-Check-to-Time-of-Use’ (TOCTTOU) Wettlaufsituation (Race Condition)
zwischen ‘stat’ und ‘chmod’ kommen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-0950/

Fedora Security Update FEDORA-2017-212f07c853 (perl-File-Path-2.12-3.fc24):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-212f07c853

Fedora Security Update FEDORA-2017-4e981a51e6 (perl-File-Path-2.12-367.fc26):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-4e981a51e6

Fedora Security Update FEDORA-2017-dd42592f9a (perl-File-Path-2.12-366.fc25):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-dd42592f9a

File-Path 2.13 Changelog:
https://github.com/jkeenan/File-Path/commit/40f25e22c8d0da8c3834cc34bf8ddd175b8e6813

Schwachstelle CVE-2017-6512 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-6512

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben