UPDATE: DFN-CERT-2015-0222 sudo: Eine Schwachstelle ermöglicht einen Denial-of-Service-Angriff [Linux][Debian][Fedora][SuSE]

UPDATE: DFN-CERT-2015-0222 sudo: Eine Schwachstelle ermöglicht einen Denial-of-Service-Angriff [Linux][Debian][Fedora][SuSE]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 4 (02.06.2015):
Für die Distributionen SUSE Linux Enterprise Server 11 SP3, SUSE Linux
Enterprise Server 11 SP3 for VMware und SUSE Linux Enterprise Desktop 11
SP3 stellt SUSE Sicherheitsupdates bereit.
Version 3 (17.03.2015):
Canonical stellt für die Distributionen Ubuntu 14.10, Ubuntu 14.04 LTS,
Ubuntu 12.04 LTS und Ubuntu 10.04 LTS Sicherheitsupdates über Backports
der Patches bereit.
Version 2 (22.02.2015):
Für die Debian Distribution Wheezy (7.7) steht ein Sicherheitsupdate
bereit.
Version 1 (19.02.2015):
Neues Advisory

Betroffene Software:

sudo <= 1.7.10:p8 sudo <= 1.8.11:p2 Betroffene Plattformen: Canonical Ubuntu Linux 10.04 Lts Canonical Ubuntu Linux 12.04 Lts Canonical Ubuntu Linux 14.04 Lts Canonical Ubuntu Linux 14.10 Debian Linux 7.7 Wheezy SUSE Linux Enterprise Desktop 11 SP3 SUSE Linux Enterprise Server 11 SP3 SUSE Linux Enterprise Server 11 SP3 VMware Red Hat Fedora 20 Red Hat Fedora 21 Durch eine Schwachstelle in sudo ist es einem lokalen, nicht authentifizierten Angreifer möglich, einen Denial-of-Service-Zustand herbeizuführen. Der Hersteller behebt die Schwachstelle in den Versionen 1.8.12 und 1.7.10p9. Für die Distributionen Fedora 20 und Fedora 21 stehen Sicherheitsupdates auf die sudo Version 1.8.12 im Status 'testing' bereit. Patch: Fedora Security Update FEDORA-2015-2247 https://admin.fedoraproject.org/updates/FEDORA-2015-2247/sudo-1.8.12-1.fc20

Patch:

Fedora Security Update FEDORA-2015-2281

https://admin.fedoraproject.org/updates/FEDORA-2015-2281/sudo-1.8.12-1.fc21

Patch:

Debian Security Advisory DSA-3167-1

https://www.debian.org/security/2015/dsa-3167

Patch:

Ubuntu Security Notice USN-2533-1

http://www.ubuntu.com/usn/usn-2533-1/

Patch:

Sudo Security Advisory CVE-2014-9680

https://www.sudo.ws/alerts/tz.html

Patch:

SUSE Security Update SUSE-SU-2015:0985-1

https://www.suse.com/support/update/announcement/2015/suse-su-20150985-1.html

CVE-2014-9680: Schwachstelle in sudo ermöglicht Denial-of-Service-Angriff

Über die Zeitzonenumgebungsvariable TZ ist es möglich, beliebige Dateien wie
z.B. Gerätedateien zu öffnen, da diese Variable ungefiltert an nachfolgende
Programme übergeben und dort möglicherweise benutzt wird. Ein lokaler, nicht
authentifizierter Angreifer kann diese Schwachstelle ausnutzen, um einen
Denial-of-Service-Zustand herbeizuführen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-0222/

Schwachstelle CVE-2014-9680 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-9680

Todd C. Miller Hersteller-Advisory:
https://www.sudo.ws/sudo/alerts/tz.html

Fedora Security Update FEDORA-2015-2247:
https://admin.fedoraproject.org/updates/FEDORA-2015-2247/sudo-1.8.12-1.fc20

Fedora Security Update FEDORA-2015-2281:
https://admin.fedoraproject.org/updates/FEDORA-2015-2281/sudo-1.8.12-1.fc21

Debian Security Advisory DSA-3167-1:
https://www.debian.org/security/2015/dsa-3167

Ubuntu Security Notice USN-2533-1:
http://www.ubuntu.com/usn/usn-2533-1/

Sudo Security Advisory CVE-2014-9680:
https://www.sudo.ws/alerts/tz.html

SUSE Security Update SUSE-SU-2015:0985-1:
https://www.suse.com/support/update/announcement/2015/suse-su-20150985-1.html

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben