UPDATE: DFN-CERT-2015-0335 Autofs: Eine Schwachstelle ermöglicht das Ausführen beliebigen Programmcodes mit den Rechten des Dienstes [Linux][SuSE]

UPDATE: DFN-CERT-2015-0335 Autofs: Eine Schwachstelle ermöglicht das Ausführen beliebigen Programmcodes mit den Rechten des Dienstes [Linux][SuSE]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 3 (09.06.2015):
Für SUSE Linux Enterprise Desktop 12 und Server 12 stehen
Sicherheitsupdates bereit.
Version 2 (27.04.2015):
Ubuntu stellt für die Distribution 14.10 ein Sicherheitsupdate zur
Verfügung.
Version 1 (11.03.2015):
Neues Advisory

Betroffene Software:

Autofs <= 5.1.0 Betroffene Plattformen: Canonical Ubuntu Linux 14.10 openSUSE 13.1 openSUSE 13.2 SUSE Linux Enterprise Desktop 12 SUSE Linux Enterprise Server 12 Eine Schwachstelle in Autofs ermöglicht es einem lokalen, nicht authentifizierten Angreifer beliebigen Programmcode mit den Rechten des Dienstes auszuführen. Patch: openSUSE Security Update openSUSE-SU-2015:0475-1 http://lists.opensuse.org/opensuse-updates/2015-03/msg00033.html

Patch:

Ubuntu Security Notice USN-2579-1

http://www.ubuntu.com/usn/usn-2579-1/

Patch:

SUSE Security Update SUSE-SU-2015:1020-1

https://www.suse.com/support/update/announcement/2015/suse-su-20151020-1.html

CVE-2014-8169: Schwachstelle in Autofs ermöglicht das Ausführen von
beliebigem Programmcode mit den Rechten des Dienstes

Eine Schwachstelle in Autofs ermöglicht durch die Verwendung von
programmbasierten Automount-Maps, beliebigen Programmcode aus einem
Benutzerverzeichnis auszuführen. Die Automount-Maps müssen in einer
interpretierenden Sprache, wie z.B. Python geschrieben sein, weil in diesen
Sprachen das Lokalisieren und Laden von Modulen durch die Auswertung von
Standard-Umgebungsvariablen gesteuert wird.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-0335/

openSUSE Security Update openSUSE-SU-2015:0475-1:
http://lists.opensuse.org/opensuse-updates/2015-03/msg00033.html

Schwachstelle CVE-2014-8169 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-8169

Ubuntu Security Notice USN-2579-1:
http://www.ubuntu.com/usn/usn-2579-1/

SUSE Security Update SUSE-SU-2015:1020-1:
https://www.suse.com/support/update/announcement/2015/suse-su-20151020-1.html

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

UPDATE: DFN-CERT-2015-0335 Autofs: Eine Schwachstelle ermöglicht das Ausführen beliebigen Programmcodes mit den Rechten des Dienstes [Linux][SuSE]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 2 (27.04.2015):
Ubuntu stellt für die Distribution 14.10 ein Sicherheitsupdate zur
Verfügung.
Version 1 (11.03.2015):
Neues Advisory

Betroffene Software:

Autofs <= 5.1.0 Betroffene Plattformen: Canonical Ubuntu Linux 14.10 openSUSE 13.1 openSUSE 13.2 Eine Schwachstelle in Autofs ermöglicht es einem lokalen, nicht authentifizierten Angreifer beliebigen Programmcode mit den Rechten des Dienstes auszuführen. Patch: openSUSE Security Update openSUSE-SU-2015:0475-1 http://lists.opensuse.org/opensuse-updates/2015-03/msg00033.html

Patch:

Ubuntu Security Notice USN-2579-1

http://www.ubuntu.com/usn/usn-2579-1/

CVE-2014-8169: Schwachstelle in Autofs ermöglicht das Ausführen von
beliebigem Programmcode mit den Rechten des Dienstes

Eine Schwachstelle in Autofs ermöglicht durch die Verwendung von
programmbasierten Automount-Maps, beliebigen Programmcode aus einem
Benutzerverzeichnis auszuführen. Die Automount-Maps müssen in einer
interpretierenden Sprache, wie z.B. Python geschrieben sein, weil in diesen
Sprachen das Lokalisieren und Laden von Modulen durch die Auswertung von
Standard-Umgebungsvariablen gesteuert wird.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-0335/

openSUSE Security Update openSUSE-SU-2015:0475-1:
http://lists.opensuse.org/opensuse-updates/2015-03/msg00033.html

Schwachstelle CVE-2014-8169 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-8169

Ubuntu Security Notice USN-2579-1:
http://www.ubuntu.com/usn/usn-2579-1/

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben