Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 3 (01.09.2014):
Für Red Hat Enterprise Linux 5, 6 und 7 stehen für verschiedene Produkte
Sicherheitsupdates zur Behebung der Schwachstellen zur Verfügung.
Version 2 (29.08.2014):
Für Ubuntu 14.04 LTS, Ubuntu 12.04 LTS und Ubuntu 10.04 LTS stehen
Sicherheitsupdates für die Schwachstelle CVE-2014-5119 zur Verfügung.
Zusätzlich wird über diese Updates eine Regression in Ubuntu 12.04 LTS und
Ubuntu 10.04 LTS behoben, die über das Sicherheitsupdate ‘Ubuntu Security
Notice USN-2306-1’ zur Behebung der Schwachstelle CVE-2014-0475 eingeführt
wurde.
Version 1 (29.08.2014):
Neues Advisory

Betroffene Software:

GNU glibc

Betroffene Plattformen:

Canonical Ubuntu Linux 10.04 Lts
Canonical Ubuntu Linux 12.04 Lts
Canonical Ubuntu Linux 14.04 Lts
Red Hat Enterprise Linux Desktop 5 Client
Red Hat Enterprise Linux Desktop 6
Red Hat Enterprise Linux Desktop 7
Red Hat Enterprise Linux HPC Node 6
Red Hat Enterprise Linux HPC Node 7
Red Hat Enterprise Linux Server 5
Red Hat Enterprise Linux Server 6
Red Hat Enterprise Linux Server 6.5 AUS
Red Hat Enterprise Linux Server 6.5.z EUS
Red Hat Enterprise Linux Server 7
Red Hat Enterprise Linux Workstation 6
Red Hat Enterprise Linux Workstation 7
Red Hat Fedora 19
Red Hat Fedora 20

Es existieren zwei Schwachstellen, von denen eine einem lokalen, nicht
authentifizierten Angreifer die Ausführung beliebigen Programmcodes
ermöglicht und die andere von einem entfernten, einfach authentisierten
Angreifer dazu genutzt werden kann, Beschränkungen zu umgehen.

Patch:

Fedora Security Update FEDORA-2014-9824

https://admin.fedoraproject.org/updates/FEDORA-2014-9824/glibc-2.18-14.fc20

Patch:

Fedora Security Update FEDORA-2014-9830

https://admin.fedoraproject.org/updates/FEDORA-2014-9830/glibc-2.17-21.fc19

Patch:

Ubuntu Security Notice USN-2328-1

http://www.ubuntu.com/usn/usn-2328-1/

Patch:

Red Hat Security Advisory RHSA-2014:1110

http://rhn.redhat.com/errata/RHSA-2014-1110.html

CVE-2014-5119: Schwachstelle in EGLIBC/GLIBC ermöglicht das Ausführen
beliebigen Programmcodes

Es existiert eine Schwachstelle in EGLIBC (Debian’s Version von der GNU C
Bibliothek)/GLIBC, welche einen Heap-basierten Pufferüberlauf beim Laden des
Transliteration Moduls erzeugt. Ein lokaler, nicht authentifizierter
Angreifer kann, mit Hilfe von manipulierten Zeichen in einer “iconv”
bezogenen Character-Conversation-Funktion, beliebigen Programmcode
ausführen.

CVE-2014-0475: GNU Lib C: Schwachstelle ermöglicht Umgehung von
Sicherheitsvorkehrungen

Die GNU C Library (glibc) beinhaltet eine Schwachstelle. Die Bibliothek
verarbeitet Pfade, die in speziellen lokalen Umgebungsparametern “..”
Segmente enthalten, derart, dass es einem entfernten, einfach
authentisierten Angreifer möglich ist, mit Hilfe von manipulierten
Umgebungsparametern, Beschränkungen zu umgehen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-1129/

Schwachstelle CVE-2014-0475 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0475

Schwachstelle CVE-2014-5119 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-5119

Fedora Security Update FEDORA-2014-9824:
https://admin.fedoraproject.org/updates/FEDORA-2014-9824/glibc-2.18-14.fc20

Fedora Security Update FEDORA-2014-9830:
https://admin.fedoraproject.org/updates/FEDORA-2014-9830/glibc-2.17-21.fc19

Ubuntu Security Notice USN-2328-1:
http://www.ubuntu.com/usn/usn-2328-1/

Red Hat Security Advisory RHSA-2014:1110:
http://rhn.redhat.com/errata/RHSA-2014-1110.html

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.