UPDATE: DFN-CERT-2014-0278 Percona Toolkit und XtraBacktup: Schwachstelle ermöglicht Ausspähen von Informationen [Linux][SuSE]

UPDATE: DFN-CERT-2014-0278 Percona Toolkit und XtraBacktup: Schwachstelle ermöglicht Ausspähen von Informationen [Linux][SuSE]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 2 (13.03.2014):
Der Hersteller hat ein Sicherheitsupdate für openSUSE 12.3 und das Percona
Toolkit veröffentlicht. Weiterhin steht ein zusätzlicher Patch für
openSUSE 13.1 zur Verfügung mit einem Update von xtrabackup auf Version
2.1.8.
Version 1 (07.03.2014):
Neues Advisory

Betroffene Software:

Percona XtraBackup

Betroffene Plattformen:

openSUSE 12.3
openSUSE 13.1

Ein entfernter Angreifer kann diese Schwachstelle ausnutzen, um vertrauliche
Informationen auszuspähen.

Patch:

openSUSE Security Update: openSUSE-SU-2014:0333-1

http://lists.opensuse.org/opensuse-security-announce/2014-03/msg00008.html

Patch:

openSUSE Security Update: openSUSE-SU-2014:0361-1

http://lists.opensuse.org/opensuse-updates/2014-03/msg00031.html

Patch:

openSUSE Security Update: openSUSE-SU-2014:0363-1

http://lists.opensuse.org/opensuse-updates/2014-03/msg00033.html

CVE-2014-2029: Schwachstelle in Percona Toolkit und XtraBackup ermöglicht
Ausspähen von vertraulichen Informationen

Falls in Percona Toolkit oder XtraBackup die standardmäßige Einstellung
‘–version-check’ aktiviert ist, werden vertrauliche Informationen wie zum
Beispiel die IP-Adresse an den Percona Server übermittelt. Weiterhin wird
diesem auch ermöglicht bestimmte Befehle auf dem System zur Ausführung zu
bringen und MySQL-Variablen abzufragen. Dies ermöglicht einem entfernten
Angreifer mit Zugriff auf den Percona Server vertrauliche Daten auszuspähen
und bestimmte Befehle zur Ausführung zu bringen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-0278/

Schwachstelle CVE-2014-2029 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-2029

openSUSE Security Update: openSUSE-SU-2014:0333-1:
http://lists.opensuse.org/opensuse-security-announce/2014-03/msg00008.html

openSUSE Security Update: openSUSE-SU-2014:0361-1:
http://lists.opensuse.org/opensuse-updates/2014-03/msg00031.html

openSUSE Security Update: openSUSE-SU-2014:0363-1:
http://lists.opensuse.org/opensuse-updates/2014-03/msg00033.html

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.

© COMPUTEC MEDIA GmbH
Nach oben