Összefoglaló
A GNU patch több sérülékenysége vált ismertté, ami az Ubuntu egyes kiadásait érinti.
Leírás
A GNU patch nem megfelelően kezeli a javítócsomagokat, Ubuntu 12.04 LTS esetében a javításokhoz tartozó elérési útvonalakat, az Ubuntu 14.04 LTS és 14.10 esetében pedig a git style patch file-okban található hivatkozásokat és a fájlok újranevezését. Illetve egy korábbi javítás sikertelen volt (CVE-2015-1196).
Egy támadó ezeket kihasználva, egy speciálisan szerkesztett patch file segítségével felülírhat tetszőleges állományt a programot elindító felhasználó jogosultsági szintjével vagy akár szolgáltatás megtagadást idézhet elő.
Megoldás
- Ubuntu 14.10: 2.7.1-5ubuntu0.3
- Ubuntu 14.04 LTS: 2.7.1-4ubuntu2.3
- Ubuntu 12.04 LTS: 2.6.1-3ubuntu0.1
Segítség a javítócsomagok telepítéséhez:
Támadás típusa
Deny of service (Szolgáltatás megtagadás)execute arbitrary code
execute code
Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: www.ubuntu.com
CVE-2010-4651 - NVD CVE-2010-4651
CVE-2014-9637 - NVD CVE-2014-9637
CVE-2015-1196 - NVD CVE-2015-1196
CVE-2015-1395 - NVD CVE-2015-1395
CVE-2015-1396 - NVD CVE-2015-1396