Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

OCaml 4.04.0
OCaml 4.04.1
OCaml < 4.04.2 Betroffene Plattformen: Red Hat Fedora 26 Eine Schwachstelle in OCaml ermöglicht es einem lokalen, einfach authentisierten Angreifer beliebigen Programmcode mit erhöhten Privilegien zur Ausführung zu bringen. Der Hersteller informiert über die Schwachstelle in OCaml > 4.04.0 und
4.04.1 und stellt die Version 4.04.2 als Sicherheitsupdate bereit.

Für Fedora 26 steht ein Backport-Sicherheitsupdate in Form des Paketes
‘ocaml-4.04.0-10.fc26’ im Status ‘testing’ bereit.

Patch:

Fedora Security Update FEDORA-2017-64f47504e4 (Fedora 26, ocaml-4.04.0-10)

https://bodhi.fedoraproject.org/updates/FEDORA-2017-64f47504e4

CVE-2017-9772: Schwachstelle in OCaml ermöglicht Privilegieneskalation

Aufgrund der unzureichenden Bereinigung von Eingaben besteht eine
Schwachstelle in OCaml 4.04.0 und 4.04.1, wodurch ein Angreifer durch Setzen
der Umgebungsvariablen ‘CAML_CPLUGINS’, ‘CAML_NATIVE_CPLUGINS’ oder
‘CAML_BYTE_CPLUGINS’ beliebigen Programmcode mit erhöhten Privilegien in
Binärdateien, welche als ‘setuid’ markiert sind, zur Ausführung bringen
kann.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-1106/

Fedora Security Update FEDORA-2017-64f47504e4 (Fedora 26, ocaml-4.04.0-10):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-64f47504e4

Schwachstelle CVE-2017-9772 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-9772

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.