UPDATE: DFN-CERT-2017-0950 File-Path: Eine Schwachstelle ermöglicht die Manipulation von Dateien [Linux][Debian][Fedora][SuSE][Unix][OpenBSD]

UPDATE: DFN-CERT-2017-0950 File-Path: Eine Schwachstelle ermöglicht die Manipulation von Dateien [Linux][Debian][Fedora][SuSE][Unix][OpenBSD]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 4 (08.11.2017):
Für SUSE Linux Enterprise Debuginfo, Server und Software Development Kit
11 SP4 stehen Sicherheitsupdates zur Behebung der Schwachstelle zur
Verfügung.
Version 3 (06.06.2017):
OpenBSD informiert über die Schwachstellen in OpenBSD 6.0 und OpenBSD 6.1
und stellt zwei unabhängige Patches als Sicherheitsupdates bereit.
Version 2 (06.06.2017):
Debian stellt für die Distributionen Jessie (8.8, stable) und Stretch
(9.0, upcoming stable) Sicherheitsupdates für Perl bereit, um die
File-Path-Schwachstelle zu beheben.
Version 1 (02.06.2017):
Neues Advisory

Betroffene Software:

File-Path < 2.13 Betroffene Plattformen: SUSE Linux Enterprise Debuginfo 11 SP4 SUSE Linux Enterprise Software Development Kit 11 SP4 Debian Linux 8.8 Jessie Debian Linux 9.0 Stretch SUSE Linux Enterprise Server 11 SP4 OpenBSD 6.0 OpenBSD 6.1 Red Hat Fedora 24 Red Hat Fedora 25 Red Hat Fedora 26 Ein lokaler, einfach authentisierter Angreifer kann eine Schwachstelle im Perl-Modul File-Path (File::Path) ausnutzen, um beliebigen Dateien beliebige Berechtigungen zuzuweisen und dadurch weitere Angriffe auf betroffene Systeme auszuführen. Der Hersteller stellt File-Path 2.13 zur Behebung der Schwachstelle zur Verfügung. Für Fedora 24, 25 und 26 stehen Backport-Sicherheitsupdates bereit. Die Sicherheitsupdates für Fedora 24 und 25 besitzen den Status 'testing', während sich das Sicherheitsupdate für Fedora 26 noch im Status 'pending' befindet. Patch: Fedora Security Update FEDORA-2017-212f07c853 (perl-File-Path-2.12-3.fc24) https://bodhi.fedoraproject.org/updates/FEDORA-2017-212f07c853

Patch:

Fedora Security Update FEDORA-2017-4e981a51e6 (perl-File-Path-2.12-367.fc26)

https://bodhi.fedoraproject.org/updates/FEDORA-2017-4e981a51e6

Patch:

Fedora Security Update FEDORA-2017-dd42592f9a (perl-File-Path-2.12-366.fc25)

https://bodhi.fedoraproject.org/updates/FEDORA-2017-dd42592f9a

Patch:

File-Path 2.13 Changelog

https://github.com/jkeenan/File-Path/commit/40f25e22c8d0da8c3834cc34bf8ddd175b8e6813

Patch:

Debian Security Advisory DSA-3873-1

https://www.debian.org/security/2017/dsa-3873

Patch:

OpenBSD 6.0 Errata 26 – 026_perl.patch.sig

https://ftp.openbsd.org/pub/OpenBSD/patches/6.0/common/026_perl.patch.sig

Patch:

OpenBSD 6.1 Errata 10 – 010_perl.patch.sig

https://ftp.openbsd.org/pub/OpenBSD/patches/6.1/common/010_perl.patch.sig

Patch:

SUSE Security Update SUSE-SU-2017:2951-1

http://lists.suse.com/pipermail/sle-security-updates/2017-November/003383.html

CVE-2017-6512: Schwachstelle in File-Path ermöglicht Manipulation von
Dateien

In den Funktionen ‘rmtree’ und ‘remove_tree’ kann es zu einer
‘Time-of-Check-to-Time-of-Use’ (TOCTTOU) Wettlaufsituation (Race Condition)
zwischen ‘stat’ und ‘chmod’ kommen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-0950/

Fedora Security Update FEDORA-2017-212f07c853 (perl-File-Path-2.12-3.fc24):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-212f07c853

Fedora Security Update FEDORA-2017-4e981a51e6 (perl-File-Path-2.12-367.fc26):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-4e981a51e6

Fedora Security Update FEDORA-2017-dd42592f9a (perl-File-Path-2.12-366.fc25):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-dd42592f9a

File-Path 2.13 Changelog:
https://github.com/jkeenan/File-Path/commit/40f25e22c8d0da8c3834cc34bf8ddd175b8e6813

Schwachstelle CVE-2017-6512 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-6512

Debian Security Advisory DSA-3873-1:
https://www.debian.org/security/2017/dsa-3873

OpenBSD 6.0 Errata 26 – 026_perl.patch.sig:
https://ftp.openbsd.org/pub/OpenBSD/patches/6.0/common/026_perl.patch.sig

OpenBSD 6.1 Errata 10 – 010_perl.patch.sig:
https://ftp.openbsd.org/pub/OpenBSD/patches/6.1/common/010_perl.patch.sig

SUSE Security Update SUSE-SU-2017:2951-1:
http://lists.suse.com/pipermail/sle-security-updates/2017-November/003383.html

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben