UPDATE: DFN-CERT-2015-0741 Filesystem in Userspace (FUSE): Eine Schwachstelle ermöglicht das Erlangen von Administratorrechten [Linux][Debian]

UPDATE: DFN-CERT-2015-0741 Filesystem in Userspace (FUSE): Eine Schwachstelle ermöglicht das Erlangen von Administratorrechten [Linux][Debian]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 2 (22.05.2015):
Canonical veröffentlicht für Ubuntu 15.04 ein Sicherheitsupdate für
ntfs-3g.
Version 1 (22.05.2015):
Neues Advisory

Betroffene Software:

Filesystem in Userspace (FUSE)

Betroffene Plattformen:

Canonical Ubuntu Linux 12.04 Lts
Canonical Ubuntu Linux 14.04 Lts
Canonical Ubuntu Linux 14.10
Canonical Ubuntu Linux 15.04
Debian Linux 7.8 Wheezy
Debian Linux 8.0 Jessie

Eine Schwachstelle in FUSE ermöglicht einem lokalen, nicht authentifizierten
Angreifer das Schreiben beliebiger Dateien und das Erlangen von
Administrationsrechten.
Canonical stellt für die Distributionen Ubuntu 15.04, Ubuntu 14.10, Ubuntu
14.04 LTS und Ubuntu 12.04 LTS Sicherheitsupdates von FUSE zur Verfügung.
Debian veröffentlicht für FUSE und NTFS-3G, einen schreib-lese NTFS-Treiber
für FUSE, Sicherheitsupdates für die Distributionen Wheezy und Jessie und
kündigt für die testing Distribution Stretch zeitnah Sicherheitsupdates an.

Patch:

Debian Security Advisory DSA-3266-1

https://www.debian.org/security/2015/dsa-3266

Patch:

Debian Security Advisory DSA-3268-1

https://www.debian.org/security/2015/dsa-3268

Patch:

Ubuntu Security Notice USN-2617-1

http://www.ubuntu.com/usn/usn-2617-1/

Patch:

Ubuntu Security Notice USN-2617-2

http://www.ubuntu.com/usn/usn-2617-2/

CVE-2015-3202: Schwachstelle in FUSE ermöglicht das Erlangen von
Administratorrechten

Eine Schwachstelle in FUSE beruht darauf, dass vor dem Aufruf des Mount-
oder Unmount-Kommandos mit erweiterten Privilegien, die Umgebungsvariablen
nicht bereinigt werden. Ein lokaler Angreifer kann sich diese Schwachstelle
zunutze machen und beliebige Dateien überschreiben oder seine Privilegien
erweitern, in dem er auf Debugging-Features der Umgebung zugreift, die
normalerweise für unprivilegierte Benutzer nicht zugänglich sind.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-0741/

Debian Security Advisory DSA-3266-1:
https://www.debian.org/security/2015/dsa-3266

Debian Security Advisory DSA-3268-1:
https://www.debian.org/security/2015/dsa-3268

Ubuntu Security Notice USN-2617-1:
http://www.ubuntu.com/usn/usn-2617-1/

Ubuntu Security Notice USN-2617-2:
http://www.ubuntu.com/usn/usn-2617-2/

Schwachstelle CVE-2015-3202 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-3202

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben