DFN-CERT-2016-1115 SQLite: Eine Schwachstelle ermöglicht das Ausspähen von Informationen [Linux][Fedora][Unix]

DFN-CERT portal at dfn-cert.de
Wed Jul 13 10:25:01 CEST 2016


Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

  SQLite < 3.13.0
  

Betroffene Plattformen:

  Unix Unix
  GNU/Linux
  Red Hat Fedora 24
  


Eine Schwachstelle in SQLite ermöglicht einem lokalen, nicht
authentifizierten Angreifer das Ausspähen von Informationen.

Das SQLite-Projekt stellt die Version 3.13.0 als Sicherheitsupdate bereit.
Für Fedora 24 steht ein Sicherheitsupdate in Form des Pakets
sqlite-3.13.0-1.fc24 im Status 'testing' zur Verfügung.


Patch:

  Fedora Security Update FEDORA-2016-0138339b54

  <https://bodhi.fedoraproject.org/updates/FEDORA-2016-0138339b54>

Patch:

  SQLite Release 3.13.0

  <http://sqlite.org/releaselog/3_13_0.html>


CVE-2016-6153: Schwachstelle in SQLite ermöglicht Ausspähen von
  Informationen

  Eine Schwachstelle in SQLite basiert auf einem Fehler in der Logik bei der
  Auswahl des temporären Verzeichnisses. SQLite überprüft verschiedene
  bekannte Pfade auf deren Leseberechtigung, die z.B. auf speziell gehärteten
  Systemen jedoch fehlschlägt, wenn die Leseberechtigung dort nicht gegeben
  ist (z.B. bei Mode 1733). In diesem Fall wird das aktuelle
  Arbeitsverzeichnis "." ausgewählt. Die Berechtigungen werden auch für dieses
  Verzeichnis geprüft, aber anschließend ignoriert. Wenn SQLite als Bibliothek
  in Anwendungen eingebunden wird, kann dieses Verhalten, z.B. bei einem
  Wechsel des Arbeitsverzeichnisses in einen unsicheren Pfad, zum Datenleck
  werden.


Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
  <https://portal.cert.dfn.de/adv/DFN-CERT-2016-1115/>

Schwachstelle CVE-2016-6153 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-6153>

Fedora Security Update FEDORA-2016-0138339b54:
  <https://bodhi.fedoraproject.org/updates/FEDORA-2016-0138339b54>

SQLite Release 3.13.0:
  <http://sqlite.org/releaselog/3_13_0.html>

KoreLogic Security Advisory KL-001-2016-003:
  <https://www.korelogic.com/Resources/Advisories/KL-001-2016-003.txt>


(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.
-------------- next part --------------
A non-text attachment was scrubbed...
Name: smime.p7s
Type: application/pkcs7-signature
Size: 4686 bytes
Desc: not available
URL: <https://lists.cert.uni-stuttgart.de/pipermail/security-announce/attachments/20160713/f32cd5de/attachment.bin>


More information about the Security-Announce mailing list