UPDATE: DFN-CERT-2015-0418 setroubleshoot: Eine Schwachstelle ermöglicht das Ausführen beliebiger Befehle [Linux][Fedora][RedHat]

UPDATE: DFN-CERT-2015-0418 setroubleshoot: Eine Schwachstelle ermöglicht das Ausführen beliebiger Befehle [Linux][Fedora][RedHat]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 2 (30.03.2015):
Für die Distributionen Fedora 20, Fedora 21 und Fedora 22 stehen
Sicherheitsupdates im Status ‘testing’ zur Verfügung.
Version 1 (26.03.2015):
Neues Advisory

Betroffene Software:

SELinux Trouble Shooting Tool

Betroffene Plattformen:

Red Hat Enterprise Linux 5 Server
Red Hat Enterprise Linux Desktop 5 Client
Red Hat Enterprise Linux Desktop 6
Red Hat Enterprise Linux Desktop 7
Red Hat Enterprise Linux Server 6
Red Hat Enterprise Linux Server 6.6.z EUS
Red Hat Enterprise Linux Server 7
Red Hat Enterprise Linux Workstation 6
Red Hat Enterprise Linux Workstation 7
Red Hat Fedora 20
Red Hat Fedora 21
Red Hat Fedora 22

Ein entfernter, nicht authentisierter Angreifer kann diese Schwachstelle
ausnutzen, indem er speziell präparierte Dateien an das darunterliegende
Shell-Kommando übergibt, um seine Privilegien auf dem System zu erweitern.
Für Red Hat Enterprise Linux 5, 6 und 7 Produkte werden Sicherheitsupdates
in Form aktualisierter Pakete von “setroubleshoot” zur Verfügung gestellt,
um diese Schwachstelle zu beheben.

Patch:

Red Hat Security Advisory RHSA-2015:0729

http://rhn.redhat.com/errata/RHSA-2015-0729.html

Patch:

Fedora Security Update FEDORA-2015-4792

https://admin.fedoraproject.org/updates/FEDORA-2015-4792/setroubleshoot-3.2.22-1.fc22

Patch:

Fedora Security Update FEDORA-2015-4833

https://admin.fedoraproject.org/updates/FEDORA-2015-4833/setroubleshoot-3.2.17-2.fc20

Patch:

Fedora Security Update FEDORA-2015-4838

https://admin.fedoraproject.org/updates/FEDORA-2015-4838/setroubleshoot-3.2.22-1.fc21

CVE-2015-1815: Schwachstelle in setroubleshoot erlaubt Ausführen beliebigen
Programmcodes

Eine Schwachstelle in “setroubleshoot”, dem SELinux Trouble Shooting
Werkzeug des Red Hat Fedora Projektes, besteht darin, dass Dateinamen nicht
ordentlich bereinigt werden, welche in einem Shell-Kommando “Look-up” für
RPMs in Verbindung mit dem Zugriff auf Verletzungsberichte (“violation
reports”) übergeben werden.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-0418/

Red Hat Security Advisory RHSA-2015:0729:
http://rhn.redhat.com/errata/RHSA-2015-0729.html

Schwachstelle CVE-2015-1815 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-1815

Fedora Security Update FEDORA-2015-4792:
https://admin.fedoraproject.org/updates/FEDORA-2015-4792/setroubleshoot-3.2.22-1.fc22

Fedora Security Update FEDORA-2015-4833:
https://admin.fedoraproject.org/updates/FEDORA-2015-4833/setroubleshoot-3.2.17-2.fc20

Fedora Security Update FEDORA-2015-4838:
https://admin.fedoraproject.org/updates/FEDORA-2015-4838/setroubleshoot-3.2.22-1.fc21

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben