Sicherheits-Update für Nortels Net-Direct-Client

Über die Kombination mehrerer Fehler war es möglich, eigene Befehle im Root-Kontext auszuführen.

In Pocket speichern vorlesen Druckansicht
Lesezeit: 1 Min.
Von
  • Daniel Bachfeld

Durch eine Schwachstelle in Nortels SSL-VPN-Client Net Direct kann unter Linux ein Anwender an höhere Zugriffsrechte gelangen. Nach Angaben des Entdeckers der Lücke John Hart beruht die Schwachstelle auf einer Kombination mehrerer Fehler: Einer Race Condition, falsch gesetzten Rechten und der fehlerhaften Erzeugung temporärer Dateien. Darüber sei es dann laut Fehlerbericht möglich, eigene Befehle im Root-Kontext auszuführen. Betroffen sind die Linux-Clients vor 6.0.5. Ein Update des Herstellers stopft die Lücke.

Siehe dazu auch:

(dab)