Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Historie:
Version 2 (21.06.2017):
Für Fedora 26 steht das Paket ‘libffi-3.1-11.fc26’ als Sicherheitsupdate
im Status ‘testing’ bereit.
Version 1 (20.06.2017):
Neues Advisory
Betroffene Software:
libffi 3.2.1
Betroffene Plattformen:
Debian Linux 8.8 Jessie
Debian Linux 9.0 Stretch
Debian Linux 10.0 Buster
Red Hat Fedora 26
Eine Schwachstelle in libffi ermöglicht einem lokalen, nicht authentisierten
Angreifer in Kombination mit einer Ausnutzung der jüngst im Kontext der
‘Stack Clash’-Veröffentlichung bekannt gewordenen Schwachstellen die
Ausführung beliebigen Programmcodes und darüber möglicherweise das Erlangen
von Root-Privilegien.
Debian stellt für die Distributionen Jessie (oldstable), Stretch (stable)
und Buster (testing) Backport-Sicherheitsupdates zur Behebung der
Schwachstelle bereit.
Patch:
Debian Security Advisory DSA-3889-1
https://www.debian.org/security/2017/dsa-3889
Patch:
Fedora Security Update FEDORA-2017-3fcc0d9152 (Fedora 26, libffi-3.1-11)
https://bodhi.fedoraproject.org/updates/FEDORA-2017-3fcc0d9152
CVE-2017-1000376: Schwachstelle in libffi ermöglicht Ausführung beliebigen
Pogrammcodes
In libffi 3.2.1 existiert eine Schwachstelle aufgrund der Verwendung
ausführbaren Stapelspeichers (Executable Stack) auf i386-Architekturen.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-1059/
Debian Security Advisory DSA-3889-1:
https://www.debian.org/security/2017/dsa-3889
Schwachstelle CVE-2017-1000376 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-1000376
Fedora Security Update FEDORA-2017-3fcc0d9152 (Fedora 26, libffi-3.1-11):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-3fcc0d9152
(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.
