UPDATE: DFN-CERT-2015-1114 LinuX Containers: Zwei Schwachstellen erlauben das Umgehen von Sicherheitsvorkehrungen und Manipulieren von Dateien [Linux][Debian]

UPDATE: DFN-CERT-2015-1114 LinuX Containers: Zwei Schwachstellen erlauben das Umgehen von Sicherheitsvorkehrungen und Manipulieren von Dateien [Linux][Debian]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 2 (27.07.2015):
Debian stellt für die Distributionen Jessie und Stretch Sicherheitsupdates
zur Verfügung.
Version 1 (24.07.2015):
Neues Advisory

Betroffene Software:

LinuX Containers

Betroffene Plattformen:

Canonical Ubuntu Linux 14.04 Lts
Canonical Ubuntu Linux 14.10
Canonical Ubuntu Linux 15.04
Debian Linux 8.1 Jessie
Debian Linux 9.0 Stretch

Zwei Schwachstellen erlauben einem lokalen, nicht authentifizierten
Angreifer das Umgehen von Sicherheitsvorkehrungen und Manipulieren von
Dateien.
Canonical stellt für die Distributionen Ubuntu 15.04, Ubuntu 14.10 und
Ubuntu 14.04 LTS Sicherheitsupdates bereit.

Patch:

Ubuntu Security Notice USN-2675-1

http://www.ubuntu.com/usn/usn-2675-1/

Patch:

Debian Security Advisory DSA-3317-1

https://www.debian.org/security/2015/dsa-3317

CVE-2015-1334: Schwachstelle in LXC erlaubt Umgehen von
Sicherheitsvorkehrungen

Eine Schwachstelle in LXC bedingt ein unangebrachtes Vertrauen in das
Container-Proc-Dateisystem. Diese erlaubt einem lokalen, nicht
authentisierten Angreifer, Einschränkungen durch AppArmor und SELinux zu
umgehen und unbeschränkt Programme in einem Container auszuführen.

CVE-2015-1331: Schwachstelle in LXC erlaubt Manipulation von Dateien

Eine Symlink-Schwachstelle in LXC erlaubt einem lokalen, nicht
authentisierten Angreifer das Erstellen von beliebigen Dateien als
Root-Benutzer. Diese Schwachstelle kann bei der Erstellung von Lock-Dateien
ausgenutzt werden, wenn LXC mit Root-Berechtigungen ausgeführt wird.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-1114/

Ubuntu Security Notice USN-2675-1:
http://www.ubuntu.com/usn/usn-2675-1/

Schwachstelle CVE-2015-1331 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-1331

Schwachstelle CVE-2015-1334 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-1334

Debian Security Advisory DSA-3317-1:
https://www.debian.org/security/2015/dsa-3317

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben