Liebes Linux-Magazin-Team,

bitte beachten Sie die Informationen zu den verfügbaren Sicherheitsupdates
in der folgenden Sicherheitsmeldung.

Historie:

Version 3 (23.05.18):
Für Debian Stretch (stable) steht ein Sicherheitsupdate zur Behebung der
Schwachstelle bereit.
Version 2 (25.04.18):
Canonical stellt für Ubuntu Linux 17.10 ein Sicherheitsupdate zur Behebung
der Schwachstelle bereit. Weitere Sicherheitsupdates werden für Oracle
Linux 7 und Red Hat Enterprise Linux 7 zur Verfügung gestellt. Diese
Sicherheitsupdates werden damit unter anderem für Red Hat Enterprise Linux
Desktop, Server und Workstation 7, für Red Hat Enterprise Linux for
Scientific Computing und Red Hat Enterprise Linux for ARM 64 7 sowie für
Red Hat Enterprise Linux Server Extended Update Support (EUS) 7.5 und Red
Hat Enterprise Linux EUS Compute Node 7.5 veröffentlicht.
Version 1 (24.04.18):
Neues Advisory

Ein lokaler, einfach authentisierter Angreifer kann Sicherheitsvorkehrungen
umgehen und mit Hilfe des Kommandozeilenprogramms ‘pkcon’ beliebige
Versionen bereits installierter Pakete erneut installieren. Der Angreifer
kann auf diese Weise z.B. eine frühere Version eines Pakets installieren,
welche eine bekannte Schwachstelle enthält, um weitere Angriffe
durchzuführen.

Das offizielle Release PackageKit 1.1.10 steht zur Behebung der
Schwachstelle zur Verfügung. Für Fedora 27 steht ein Sicherheitsupdate in
Form des Pakets ‘PackageKit-1.1.10-1.fc27’ zur Behebung der Schwachstelle
zur Verfügung. Für openSUSE Leap 42.3 sowie die SUSE Linux Enterprise
Produkte Workstation Extension, Software Development Kit, Server und Desktop
jeweils in der Version 12 SP3 stehen Backport-Sicherheitsupdates für
PackageKit zur Behebung der Schwachstelle zur Verfügung.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Schwachstellenarchiv unter:
[https://adv-archiv.dfn-cert.de/adv/2018-0776]

Mit freundlichen Grüßen,
Ihr DFN-CERT Incident Response Team

—
(c) DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen ist auf den Ursprung in
angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für die DFN-CERT
Webseite. https://www.dfn-cert.de/impressum.html

Liebes Linux-Magazin-Team,

bitte beachten Sie die Informationen zu den verfügbaren Sicherheitsupdates
in der folgenden Sicherheitsmeldung.

Historie:

Version 2 (25.04.18):
Canonical stellt für Ubuntu Linux 17.10 ein Sicherheitsupdate zur Behebung
der Schwachstelle bereit. Weitere Sicherheitsupdates werden für Oracle
Linux 7 und Red Hat Enterprise Linux 7 zur Verfügung gestellt. Diese
Sicherheitsupdates werden damit unter anderem für Red Hat Enterprise Linux
Desktop, Server und Workstation 7, für Red Hat Enterprise Linux for
Scientific Computing und Red Hat Enterprise Linux for ARM 64 7 sowie für
Red Hat Enterprise Linux Server Extended Update Support (EUS) 7.5 und Red
Hat Enterprise Linux EUS Compute Node 7.5 veröffentlicht.
Version 1 (24.04.18):
Neues Advisory

Ein lokaler, einfach authentisierter Angreifer kann Sicherheitsvorkehrungen
umgehen und mit Hilfe des Kommandozeilenprogramms ‘pkcon’ beliebige
Versionen bereits installierter Pakete erneut installieren. Der Angreifer
kann auf diese Weise z.B. eine frühere Version eines Pakets installieren,
welche eine bekannte Schwachstelle enthält, um weitere Angriffe
durchzuführen.

Das offizielle Release PackageKit 1.1.10 steht zur Behebung der
Schwachstelle zur Verfügung. Für Fedora 27 steht ein Sicherheitsupdate in
Form des Pakets ‘PackageKit-1.1.10-1.fc27’ zur Behebung der Schwachstelle
zur Verfügung. Für openSUSE Leap 42.3 sowie die SUSE Linux Enterprise
Produkte Workstation Extension, Software Development Kit, Server und Desktop
jeweils in der Version 12 SP3 stehen Backport-Sicherheitsupdates für
PackageKit zur Behebung der Schwachstelle zur Verfügung.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Schwachstellenarchiv unter:
[https://adv-archiv.dfn-cert.de/adv/2018-0776]

Mit freundlichen Grüßen,
Ihr DFN-CERT Incident Response Team

—
(c) DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen ist auf den Ursprung in
angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für die DFN-CERT
Webseite. https://www.dfn-cert.de/impressum.html