Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Historie:
Version 1.0 (18.06.2013):
Neues Advisory
Version 2.0 (25.06.2013):
Der Hersteller erweitert die Beschreibung des Workarounds.
Betroffene Software:
Paket kernel
Betroffene Plattformen:
FreeBSD ab Version 9.0
Eine Schwachstelle im FreeBSD-Kernel ermöglicht einem lokalen Angreifer
geschützte Dateien zu manipulieren oder schlimmstenfalls seine Rechte zu
erweitern.
Software Upgrade:
Der Hersteller stellt Updates zur Behebung der Schwachstelle bereit.
http://security.freebsd.org/patches/
CVE-2013-2171: Schwachstelle im FreeBSD-Kernel
Aufgrund unzureichender Überprüfungen der Berechtigungen im virtuellen
Speichersystem des FreeBSD-Kernels, ist es einem Tracing-Prozess möglich
Teile des Adressbereiches des überwachten Prozesses in einen Adressbereich
zu ändern, zu dem der überwachte Prozess selbst keinen Zugriff besitzt. Dies
ermöglicht einem lokalen Angreifer geschützte Dateien zu manipulieren oder
schlimmstenfalls seine Rechte zu erweitern.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2013-1156/
Das Hersteller Advisory:
http://security.FreeBSD.org/advisories/FreeBSD-SA-13:06.mmap.asc
Schwachstelle CVE-2013-2171:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-2171
(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.
