UPDATE: DFN-CERT-2015-1621 Automatic Bug Reporting Tool (ABRT): Eine Schwachstelle ermöglicht das Ausspähen von Informationen [Linux][Fedora][RedHat]

UPDATE: DFN-CERT-2015-1621 Automatic Bug Reporting Tool (ABRT): Eine Schwachstelle ermöglicht das Ausspähen von Informationen [Linux][Fedora][RedHat]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 2 (23.11.2015):
Für Red Hat Enterprise Linux Desktop 6, HPC Node 6, Server 6, Server EUS
6.7.z und Workstation 6 stehen Sicherheitsupdates zur Verfügung.
Version 1 (19.10.2015):
Neues Advisory

Betroffene Software:

Automatic Bug Reporting Tool

Betroffene Plattformen:

Red Hat Enterprise Linux Desktop 6
Red Hat Enterprise Linux HPC Node 6
Red Hat Enterprise Linux Server 6
Red Hat Enterprise Linux Server 6.7.z EUS
Red Hat Enterprise Linux Workstation 6
Red Hat Fedora 21
Red Hat Fedora 22
Red Hat Fedora 23

Eine Schwachstelle in ‘libreport’ ermöglicht einem entfernten, nicht
authentifizierten Angreifer das Ausspähen von Informationen.

Für Fedora 21, 22 und 23 werden Sicherheitsupdates in Form der Pakete
‘abrt-2.3.0-12.fc21’ und ‘libreport-2.3.0-10.fc21’, ‘abrt-2.6.1-6.fc22’ und
‘libreport-2.6.3-1.fc22 sowie ‘abrt-2.7.0-1.fc23’ und
‘libreport-2.6.3-1.fc23’ im Status ‘testing’ bereitgestellt.

Patch:

Fedora Security Update FEDORA-2015-6542ab6d3a (Fedora 21)

https://bodhi.fedoraproject.org/updates/FEDORA-2015-6542ab6d3a

Patch:

Fedora Security Update FEDORA-2015-b81f7e1e86 (Fedora 22)

https://bodhi.fedoraproject.org/updates/FEDORA-2015-b81f7e1e86

Patch:

Fedora Security Update FEDORA-2015-cc585b503f (Fedora 23)

https://bodhi.fedoraproject.org/updates/FEDORA-2015-cc585b503f

Patch:

Red Hat Security Advisory RHSA-2015:2504

http://rhn.redhat.com/errata/RHSA-2015-2504.html

CVE-2015-5302: Schwachstelle in libreport ermöglicht das Ausspähen von
Informationen

Eine Schwachstelle in libreport basiert auf einem Speicherungsfehler, so
dass Änderungen durch den Benutzer an den Berichtsdaten ignoriert werden;
nur Änderungen in der ersten Datei werden gespeichert, alle restlichen
werden verworfen. Das kann dazu führen, dass Anhänge in Bugzilla sensible
Daten enthalten können, die der Benutzer eigentlich entfernen wollte.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-1621/

Fedora Security Update FEDORA-2015-6542ab6d3a (Fedora 21):
https://bodhi.fedoraproject.org/updates/FEDORA-2015-6542ab6d3a

Fedora Security Update FEDORA-2015-b81f7e1e86 (Fedora 22):
https://bodhi.fedoraproject.org/updates/FEDORA-2015-b81f7e1e86

Fedora Security Update FEDORA-2015-cc585b503f (Fedora 23):
https://bodhi.fedoraproject.org/updates/FEDORA-2015-cc585b503f

Schwachstelle CVE-2015-5302 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-5302

Red Hat Security Advisory RHSA-2015:2504:
http://rhn.redhat.com/errata/RHSA-2015-2504.html

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben