DFN-CERT-2016-1186 pbuilder: Eine Schwachstelle ermöglicht die Manipulation von Dateien [Linux][Fedora]

DFN-CERT portal at dfn-cert.de
Fri Jul 22 16:30:02 CEST 2016


Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

  pbuilder < 0.225.2
  

Betroffene Plattformen:

  Red Hat Fedora 23
  Red Hat Fedora 24
  


Ein lokaler, einfach authentifizierter Angreifer kann für das System
kritische Dateien, die nur temporär zur Erstellung von Programmpaketen
geändert werden sollen, möglicherweise dauerhaft ändern.

Für Fedora 23 und 24 stehen Sicherheitsupdates im Status 'testing' bereit.


Patch:

  Fedora Security Update FEDORA-2016-2e20730676 (Fedora 23,
  pbuilder-0.225.2-1.fc23)

  <https://bodhi.fedoraproject.org/updates/FEDORA-2016-2e20730676>

Patch:

  Fedora Security Update FEDORA-2016-bdb86fbc7d (Fedora 24,
  pbuilder-0.225.2-1.fc24)

  <https://bodhi.fedoraproject.org/updates/FEDORA-2016-bdb86fbc7d>


RED-HAT-BUG-ID-1358337: Schwachstelle in pbuilder ermöglicht Manipulation
  von Dateien

  Falls 'EATMYDATA' in pbuilder aktiviert ist, wird die Variable 'CHROOTEXEC'
  mit 'chroot $BUILDPLACE eatmydata' überschrieben und der bisherige Inhalt
  geht verloren. Dadurch wird das Kopieren-beim-Schreiben
  (Copy-on-Write)-Prinzip umgangen, so dass temporäre Änderungen an Dateien
  umgehend dauerhaft übernommen werden.


Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
  <https://portal.cert.dfn.de/adv/DFN-CERT-2016-1186/>

Fedora Security Update FEDORA-2016-2e20730676 (Fedora 23,
pbuilder-0.225.2-1.fc23):
  <https://bodhi.fedoraproject.org/updates/FEDORA-2016-2e20730676>

Fedora Security Update FEDORA-2016-bdb86fbc7d (Fedora 24,
pbuilder-0.225.2-1.fc24):
  <https://bodhi.fedoraproject.org/updates/FEDORA-2016-bdb86fbc7d>

Changelog pbuilder (0.225.2) unstable:
  <http://metadata.ftp-master.debian.org/changelogs//main/p/pbuilder/pbuilder_0.225.2_changelog>

Red Hat Bug ID 1358337:
  <https://bugzilla.redhat.com/show_bug.cgi?id=1358337>


(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.
-------------- next part --------------
A non-text attachment was scrubbed...
Name: smime.p7s
Type: application/pkcs7-signature
Size: 4686 bytes
Desc: not available
URL: <https://lists.cert.uni-stuttgart.de/pipermail/security-announce/attachments/20160722/1f9c0312/attachment.bin>


More information about the Security-Announce mailing list