DFN-CERT-2016-1152 KDE Frameworks: Eine Schwachstelle ermöglicht die Manipulation von Dateien [Linux][Fedora]

DFN-CERT portal at dfn-cert.de
Tue Jul 19 15:55:02 CEST 2016


Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

  KDE Frameworks < 5.24.0
  

Betroffene Plattformen:

  Red Hat Fedora 23
  Red Hat Fedora 24
  Extra Packages for Red Hat Enterprise Linux 7
  


Ein entfernter, nicht authentifizierter Angreifer kann mithilfe einer
speziell präparierten Archivdatei, die ein Benutzer über KNewStuff
herunterlädt und entpackt, beliebige Dateien relativ zum
Extraktionsverzeichnis überschreiben und dadurch möglicherweise weitere
Angriffe ausführen.

Die Schwachstelle in KNewStuff wird in KArchive als Teil der
Veröffentlichung der KDE Frameworks 5.24.0 behoben. Für Fedora 23 und 24
stehen Sicherheitsupdates für die KDE Frameworks auf Version 5.24.0 im
Status 'testing' bereit. Das entsprechende Sicherheitsupdate für Fedora EPEL
7 befindet sich im Status 'pending'.


Patch:

  Fedora Security Update FEDORA-2016-4701636a74 (Fedora 24)

  <https://bodhi.fedoraproject.org/updates/FEDORA-2016-4701636a74>

Patch:

  Fedora Security Update FEDORA-2016-cef912e3a4 (Fedora 23)

  <https://bodhi.fedoraproject.org/updates/FEDORA-2016-cef912e3a4>

Patch:

  Fedora Security Update FEDORA-EPEL-2016-7913c4c81c (Fedora EPEL 7)

  <https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2016-7913c4c81c>

Patch:

  Release Notes KDE Frameworks 5.24.0

  <https://www.kde.org/announcements/kde-frameworks-5.24.0.php>


CVE-2016-6232: Schwachstelle in KNewStuff ermöglicht Manipulation von
  Dateien

  In Archivdateien, die mit KNewStuff, Teil des KDE Frameworks,
  heruntergeladen werden, werden relative Pfandangaben für die Extraktion der
  Daten akzeptiert.


Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
  <https://portal.cert.dfn.de/adv/DFN-CERT-2016-1152/>

Fedora Security Update FEDORA-2016-4701636a74 (Fedora 24):
  <https://bodhi.fedoraproject.org/updates/FEDORA-2016-4701636a74>

Fedora Security Update FEDORA-2016-cef912e3a4 (Fedora 23):
  <https://bodhi.fedoraproject.org/updates/FEDORA-2016-cef912e3a4>

Fedora Security Update FEDORA-EPEL-2016-7913c4c81c (Fedora EPEL 7):
  <https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2016-7913c4c81c>

Release Notes KDE Frameworks 5.24.0:
  <https://www.kde.org/announcements/kde-frameworks-5.24.0.php>

Schwachstelle CVE-2016-6232 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-6232>


(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.
-------------- next part --------------
A non-text attachment was scrubbed...
Name: smime.p7s
Type: application/pkcs7-signature
Size: 4686 bytes
Desc: not available
URL: <https://lists.cert.uni-stuttgart.de/pipermail/security-announce/attachments/20160719/148868bf/attachment.bin>


More information about the Security-Announce mailing list