2014-0762: Puppet, Hiera, Mcollective, Facter: Eine Schwachstelle ermöglicht die Ausführung von Befehlen

Historie:

Version 1 (2014-06-12 15:59)

Neues Advisory

Version 2 (2014-10-12 12:13)

Für Fedora 19, Fedora 20 und EPEL 6 stehen Sicherheitsupdates zur Verfügung.

Version 3 (2014-11-05 13:04)

Das Sicherheitsupdate FEDORA-EPEL-2014-3286 für Fedora EPEL 6 wurde in den Status 'obsolet' gesetzt und durch ein neues Update FEDORA-EPEL-2014-3790, welches sich im Status 'testing' befindet, ersetzt.

Version 4 (2014-11-25 11:17)

Für Fedora EPEL 6 steht ein weiteres Sicherheitsupdate für Facter zur Verfügung, welches den zuvor fälschlicherweise entfernten Patch für die Schwachstelle wieder aktiviert.

Version 5 (2014-11-26 12:11)

Für Fedora 19 steht ein weiteres Sicherheitsupdate für Facter zur Verfügung, welches den zuvor fälschlicherweise entfernten Patch für die Schwachstelle wieder aktiviert.

Betroffene Software

Server
Systemsoftware

Betroffene Plattformen

Linux

Beschreibung:

Ein lokaler, authentifizierter Benutzer, als Angreifer, kann durch Manipulation innerhalb von Verzeichnissen erreichen, dass beliebiger Programmcode mit den Rechten eines anderen Benutzers ausgeführt wird. Handelt es sich um einen privilegierten Benutzer, in dessen Kontext der Programmcode ausgeführt wird, erhält auch der Angreifer dessen Rechte.

Schwachstellen:

CVE-2014-3248

LOAD_PATH enthält aktuelles Verzeichnis

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.