UPDATE: DFN-CERT-2017-1480 Gnome Shell: Eine Schwachstelle ermöglicht u.a. die Ausführung beliebigen Programmcodes [Linux][SuSE]

UPDATE: DFN-CERT-2017-1480 Gnome Shell: Eine Schwachstelle ermöglicht u.a. die Ausführung beliebigen Programmcodes [Linux][SuSE]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 2 (28.08.2017):
Für openSUSE Leap 42.2 und 42.3 stehen Sicherheitsupdates zur Behebung der
Schwachstelle zur Verfügung.
Version 1 (21.08.2017):
Neues Advisory

Betroffene Software:

GNOME Shell >= 3.22
GNOME Shell <= 3.24.1 GNOME Shell < 3.25.4 Betroffene Plattformen: SUSE Linux Enterprise Software Development Kit 12 SP2 SUSE Linux Enterprise Software Development Kit 12 SP3 SUSE Linux Enterprise Workstation Extension 12 SP2 SUSE Linux Enterprise Workstation Extension 12 SP3 GNU/Linux openSUSE Leap 42.2 openSUSE Leap 42.3 SUSE Linux Enterprise Desktop 12 SP2 SUSE Linux Enterprise Desktop 12 SP3 SUSE Linux Enterprise Server 12 SP2 SUSE Linux Enterprise Server 12 SP2 for Raspberry Pi SUSE Linux Enterprise Server 12 SP3 Ein nicht authentisierter Angreifer mit physischem Zugriff auf ein betroffenes System kann eine Schwachstelle in GNOME Shell abhängig von den vom Benutzer verwendeten Erweiterungen ausnutzen, um beispielsweise Informationen auszuspähen, die von den Erweiterungen ausgegeben werden, auf dem System vorhandene Anwendungen zu starten oder beliebigen Programmcode auszuführen. Der Hersteller hat die Schwachstelle für die Versionen 3.22 bis 3.24.1 bestätigt und in GNOME Shell 3.25.4 behoben. Für die SUSE Linux Enterprise Produkte Desktop, Server, Software Development Kit und Workstation Extension in den Versionen 12 SP2 und 12 SP3 sowie für SUSE Linux Enterprise Server for Raspberry Pi 12 SP2 stehen Backport-Sicherheitsupdates zur Verfügung. Patch: GNOME Shell 3.25.4 Release Notes https://mail.gnome.org/archives/gnome-shell-list/2017-July/msg00004.html

Patch:

SUSE Security Update SUSE-SU-2017:2217-1

http://lists.suse.com/pipermail/sle-security-updates/2017-August/003146.html

Patch:

openSUSE Security Update openSUSE-SU-2017:2273-1

http://lists.opensuse.org/opensuse-updates/2017-08/msg00101.html

CVE-2017-8288: Schwachstelle in GNOME Shell ermöglicht u.a. die Ausführung
beliebigen Programmcodes

Falls das erneute Laden einer Erweiterung für GNOME Shell fehlschlägt,
bleiben andere Erweiterungen unter Umständen aktiv, wenn der Sperrbildschirm
verwendet wird. Das Problem liegt in der Behandlung von Ausnahmesituationen
in ‘js/ui/extensionSystem.js’ begründet.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-1480/

Schwachstelle CVE-2017-8288 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-8288

GNOME Shell 3.25.4 Release Notes:
https://mail.gnome.org/archives/gnome-shell-list/2017-July/msg00004.html

SUSE Security Update SUSE-SU-2017:2217-1:
http://lists.suse.com/pipermail/sle-security-updates/2017-August/003146.html

openSUSE Security Update openSUSE-SU-2017:2273-1:
http://lists.opensuse.org/opensuse-updates/2017-08/msg00101.html

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben