[Sec-cert] DFN-CERT-2014-0254 IcedTea: Eine Schwachstelle ermöglicht das unsichere Erzeugen von temporären Dateien [Linux][SuSE]

portal at dfn-cert.de portal at dfn-cert.de
Fr Feb 28 14:10:02 CET 2014


Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

  IcedTea <= 1.4.1
  

Betroffene Plattformen:

  openSUSE 12.3
  openSUSE 13.1
  


Ein lokaler, nicht authentifizierter Angreifer kann diese Schwachstelle
ausnutzen, um Angriffe über symbolische Links auszuführen und damit
beliebige Dateien im Kontext der betroffenen Anwendung zu überschreiben.


Patch:

  openSUSE Security Update openSUSE-SU-2014:0310

  <http://lists.opensuse.org/opensuse-updates/2014-02/msg00089.html>


CVE-2013-6493: Schwachstelle in icedtea-web

  In der LiveConnect Implementierung werden temporäre Dateien auf unsichere
  Weise benutzt.


Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
  <https://portal.cert.dfn.de/adv/DFN-CERT-2014-0254/>

Schwachstelle CVE-2013-6493 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-6493>

openSUSE Security Update openSUSE-SU-2014:0310:
  <http://lists.opensuse.org/opensuse-updates/2014-02/msg00089.html>


(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : smime.p7s
Dateityp    : application/pkcs7-signature
Dateigröße  : 4335 bytes
Beschreibung: nicht verfügbar
URL         : <https://listserv.uni-hohenheim.de/pipermail/sec-cert/attachments/20140228/17e17ab8/attachment-0001.p7s>


Mehr Informationen über die Mailingliste Sec-cert