Translated message

A translation of this page exists in English.

Warning message

This translation is outdated. For the most up-to-date information, please refer to the English version.

ABRT-Schwachstellen CVE-2015-1862 und CVE-2015-3315

Aktualisiert -

Eine Reihe von ABRT betreffenden Problemen wurde am 14 April 2015 gemeldet, darunter CVE-2015-1862 und CVE-2015-3315. CVE-2015-1862 hat keine Auswirkungen auf die mit Red Hat Produkten gelieferten Versionen von ABRT und weitere Informationen sind in Bug 1211223 verfügbar. Die in CVE-2015-3315 gemeldeten Fehler werden in Bug 1211835 beschrieben und betreffen Red Hat Enterprise Linux 6 und 7.

Hintergrundinformationen

Ein Fehler wurde in der Weise gefunden, wie bestimmte ABRT Core Handlers Absturzberichte in einer Umgebung mit Namensräumen verarbeiteten. Ein lokaler, unberechtigter Benutzer konnte diesen Fehler ausnutzen, um seine Berechtigungen im System zu erhöhen. Dieses Problem besitzt die CVE-ID CVE-2015-1862 und betrifft die in Red Hat Produkten gelieferten Versionen von ABRT nicht.

Eine Reihe von mit den symbolischen Links und der Einstellung von Berechtigungen an erstellten Dateien zusammenhängenden Wettbewerbsbedingung wurden bei der Weise gefunden, auf die ABRT mit Protokolldateien und vom proc-Dateisystem verbrauchte Informationen handhabt. Diese Probleme wurden in CVE-2015-3315 gruppiert und ein öffentlicher Exploit existiert, der die lokale Berechtigungsausweitung zu root an standardmäßigen Red Hat Enterprise Linux 7 Installationen ermöglicht.

Auswirkungen

Der ABRT (Automatic Bug-Reporting Tool) ist ein nicht unbedingt nötiger Systemdienst, der die Bedienbarkeit verbessert, indem er automatisch Informationen zu Abstürzen von Prozessen im Benutzerbereich sammelt und diese optional an Red Hat meldet. Er ist in manchen Red Hat Produkten standardmäßig aktiviert.

Red Hat Enterprise Linux 4 und Red Hat Enterprise Linux 5

Red Hat Enterprise Linux 4 und 5 beinhalten ABRT nicht und sind für diese Probleme daher nicht anfälig.

Red Hat Enterprise Linux 6

Das abrt-Paket in Red Hat Enterprise Linux 6 ist für einige dieser Probleme anfällig, gestattet jedoch nur eine Berechtigungsausweitung vom lokalen Systembenutzer "abrt", so dass das von diesem Fehler mittelmäßige Moderate Gefahr ausgeht. Der lokale Systembenutzer "abrt" wird nicht für interaktive Anmeldesitzungen verwendet und wird standardmäßig als deaktivierter Benutzer geliefert.

Red Hat Enterprise Linux 7

Das abrt-Paket in Red Hat Enterprise Linux 7 ist für einige dieser Probleme anfällig und gestattet die lokale Berechtigungsausweitung zu root. Dieser Fehler wurde als wichtig Important eingestuft und es wird an einer Aktualisierung gearbeitet.

Auflösung

Eine Aktualisierung für Red Hat Enterprise Linux 7 ist in Arbeit. Um die Möglichkeit eines Exploits auszuschließen, installieren Sie ein aktualisiertes ABRT-Paket auf Ihrem System sobald es verfügbar ist.

Eine Aktualisierung für Red Hat Enterprise Linux 6 ist derzeit keine Priorität, da der Fehler nur moderate Auswirkungen auf diese Version hat.

Vorbeugungsschritte

ABRT ist ein nicht unbedingt nötiger Systemdienst, und die corefile-Sammlung kann vom Administrator ohne Risiko deaktiviert werden, bis die Aktualisierungen bereitgestellt wurden. Die nachfolgenden Befehle stoppen und deaktivieren den Dienst, bis er das nächste Mal aktiviert und ausdrücklich vom Administrator gestartet wird.

Red Hat Enterprise Linux 6:
# service abrt-ccpp stop
# service abrtd stop
# chkconfig abrt-ccpp off
# chkconfig abrtd off
Red Hat Enterprise Linux 7:
# systemctl stop abrt-ccpp
# systemctl stop abrtd
# systemctl disable abrt-ccpp
# systemctl disable abrtd

Zusätzliche Informationen

Public disclosure in the OSS Security mailing list

Comments