Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Historie:
Version 5 (15.12.2014):
Für die Distribution Fedora 21 steht ein neues Sicherheitsupdate im Status
‘testing’ zur Verfügung. Das zuvor veröffentlichte Update
FEDORA-2014-16185 wurde in den Status ‘obsolet’ gesetzt.
Version 4 (04.12.2014):
Für die Distribution Fedora 20 steht ein weiteres Sicherheitsupdate im
Status ‘testing’ zur Verfügung.
Version 3 (03.12.2014):
Für Fedora 21 und Fedora EPEL 7 werden Sicherheitsupdates bereitgestellt,
wobei das Update für EPEL 7 das zuvor veröffentlichte Update
FEDORA-EPEL-2014-4100 ersetzt, welches in den Status ‘obsolet’ überführt
wurde.
Version 2 (19.11.2014):
Für Fedora 20 wird ein aktualisiertes Paket von erlang-R16B-03.9.fc20
bereitgestellt. Die Schwachstelle wird darin über einen Backport von
17.x.x. behoben.
Version 1 (18.11.2014):
Neues Advisory
Betroffene Software:
Red Hat Fedora 20
Red Hat Fedora 21
Extra Packages for Red Hat Enterprise Linux 7
Betroffene Plattformen:
Red Hat Fedora
Extra Packages for Red Hat Enterprise Linux
Eine Schwachstelle in Erlang ermöglicht einem entfernten, nicht
authentifizierten Angreifer beliebige Befehle (“Command Injection”)
auszuführen. Die Schwachstellen wurden über Backports für Fedora EPEL 7
behoben.
Patch:
Fedora Security Update FEDORA-2014-15394
https://admin.fedoraproject.org/updates/FEDORA-2014-15394/erlang-R16B-03.9.fc20
Patch:
Fedora Security Update FEDORA-EPEL-2014-4409
https://admin.fedoraproject.org/updates/FEDORA-EPEL-2014-4409/erlang-R16B-03.10.el7
Patch:
Fedora Security Update FEDORA-2014-16214
https://admin.fedoraproject.org/updates/FEDORA-2014-16214/erlang-R16B-03.10.fc20
Patch:
Fedora Security Update FEDORA-2014-17009
https://admin.fedoraproject.org/updates/FEDORA-2014-17009/erlang-17.4-1.fc21
CVE-2014-1693: Schwachstelle in Erlang
Programmierfehler in multiplen Funktionen des FTP-Moduls von Erlang
ermöglichen einem entfernten, nicht authentifizierten Angreifer “Command
Injection”-Angriffe durchzuführen. Die Funktionen des FTP-Moduls filtern
Benutzereingaben ungenügend bevor diese an das “Control Socket”
weitergereicht werden. Ein Angreifer kann dadurch beliebige FTP-Befehle auf
einem betroffenen System ausführen.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-1504/
Schwachstelle CVE-2014-1693 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-1693
Fedora Security Update FEDORA-2014-15394:
https://admin.fedoraproject.org/updates/FEDORA-2014-15394/erlang-R16B-03.9.fc20
Fedora Security Update FEDORA-EPEL-2014-4409:
https://admin.fedoraproject.org/updates/FEDORA-EPEL-2014-4409/erlang-R16B-03.10.el7
Fedora Security Update FEDORA-2014-16214:
https://admin.fedoraproject.org/updates/FEDORA-2014-16214/erlang-R16B-03.10.fc20
Fedora Security Update FEDORA-2014-17009:
https://admin.fedoraproject.org/updates/FEDORA-2014-17009/erlang-17.4-1.fc21
(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.
