Sicherheitsupdates für FreeBSD
Die Updates schließen eine drei Monate alte Lücke in GNU tar und beheben Probleme im Zufallszahlengenerator.
Die FreeBSD-Entwickler haben von zwei Schwachstellen in den zu ihrem Betriebssystem ausgelieferten Systemtools berichtet. Durch die unzureichende Prüfung der Pfadangaben .. und . beim Auspacken von tar-Archiven mit GNU tar kann ein Angreifer Dateien auf einem System mit den Rechten des Opfers überschreiben. Die Lücke ist seit rund drei Monaten bekannt. Als Workaround schlagen die Entwickler vor, bsdtar zu nutzen, das seit FreeBSD 5.3 ohnehin das Standard-Tar-Tool ist. Ein Patch für GNU tar steht dennoch bereit.
Darüber hinaus gibt es ein Problem mit den Zustandsregistern der Pseudo-Zufallsgeneratoren random und urandom, wodurch es möglich sein soll, an früher generierte Zufallszahlen zu gelangen. Laut Bericht ließen sich dadurch zwar bestimmte Sicherheitsmechanismen aushebeln, allerdings sei dafür der Zugriff auf das System notwendig. Betroffen sind alle FreeBSD-Versionen. Ein Patch behebt den Fehler.
Siehe dazu auch:
- gtar directory traversal vulnerability, Fehlerbericht von FreeBSD
- Random value disclosure, Fehlerbericht von FreeBSD
(dab)
