UPDATE: DFN-CERT-2014-1413 Shim: Mehrere Schwachstellen ermöglichen die Ausführung beliebiger Befehle [Linux][Fedora]

UPDATE: DFN-CERT-2014-1413 Shim: Mehrere Schwachstellen ermöglichen die Ausführung beliebiger Befehle [Linux][Fedora]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 2 (03.11.2014):
Für Fedora 19 und Fedora 20 stehen Sicherheitsupdates zur Verfügung.
Version 1 (28.10.2014):
Neues Advisory

Betroffene Software:

Shim < 0.8-1 Betroffene Plattformen: Red Hat Fedora 19 Red Hat Fedora 20 Red Hat Fedora 21 Mehrere Schwachstellen in Shim ermöglichen einem entfernten, nicht authentisierten Angreifer beliebige Befehle zur Ausführung oder die Anwendung zum Stillstand zu bringen. Patch: Fedora Security Update FEDORA-2014-13581 https://admin.fedoraproject.org/updates/FEDORA-2014-13581/shim-0.8-1.fc22,shim-signed-0.8-1.fc22,mokutil-0.2.0-1.fc21

Patch:

Fedora Security Update FEDORA-2014-14058

https://admin.fedoraproject.org/updates/FEDORA-2014-14058/mokutil-0.2.0-1.fc20,shim-signed-0.8-3

Patch:

Fedora Security Update FEDORA-2014-14059

https://admin.fedoraproject.org/updates/FEDORA-2014-14059/mokutil-0.2.0-1.fc19,shim-signed-0.8-2

CVE-2014-3677: Schwachstelle in Shim bei der Verarbeitung von MOKs (Machine
Owner Keys)

In Shim werden MOKs (Machine Owner Keys) in unsicherer Weise verarbeitet und
es kann eine Speicherkorruption ausgelöst und in der Folge beliebige Befehle
zur Ausführung gebracht werden. Die Schwachstelle kann von einem entfernten,
nicht authentisierten Angreifer ausgenutzt werden.

CVE-2014-3676: Schwachstelle in Shim bei der Verarbeitung von IPv6-Adressen

In Shim werden im Zusammenhang mit der “tftp:// DHCPv6 Boot-Option”
IPv6-Adressen nicht hinreichend geprüft und ein Heap-basierter
Pufferspeicherüberlauf kann ausgelöst werden. Ein entfernter, nicht
authentisierter Angreifer kann darüber beliebige Befehle zur Ausführung
bringen.

CVE-2014-3675: Schwachstelle in Shim bei der Verarbeitung von DHCPv6 Paketen

In Shim werden DHCPv6 Pakete in unsicherer Weise behandelt und ein Zugriff
außerhalb vorgesehener Speicherbereiche kann ausgelöst werden. Ein
entfernter, nicht authentisierter Angreifer kann diese Schwachstelle
ausnutzen, um die Anwendung zum Stillstand zu bringen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-1413/

Schwachstelle CVE-2014-3675 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3675

Schwachstelle CVE-2014-3676 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3676

Schwachstelle CVE-2014-3677 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3677

Fedora Security Update FEDORA-2014-13581:
https://admin.fedoraproject.org/updates/FEDORA-2014-13581/shim-0.8-1.fc22,shim-signed-0.8-1.fc22,mokutil-0.2.0-1.fc21

Fedora Security Update FEDORA-2014-14058:
https://admin.fedoraproject.org/updates/FEDORA-2014-14058/mokutil-0.2.0-1.fc20,shim-signed-0.8-3

Fedora Security Update FEDORA-2014-14059:
https://admin.fedoraproject.org/updates/FEDORA-2014-14059/mokutil-0.2.0-1.fc19,shim-signed-0.8-2

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben