Zugriff auf beliebige Dateien möglich

Sicherheitslücke in Scheduler fcrontab gemeldet

Über eine Sicherheitslücke im Scheduler fcrontab können Angreifer auf Informationen anderer Benutzer zugreifen – oder beliebige Systemdateien einsehen.

Laut einer Meldung auf der Sicherheitsliste „Full Disclosure“ existiert eine kritische Sicherheitslücke in der System-Scheduler-Anwendung fcrontab. Die Schwachstelle tritt in allen Versionen von fcrontab vor Version 3.0.5 auf.

Je nach Installationsverfahren variieren die Angriffsmöglichkeiten: Wurde fcrontab als Mitglied einer eigenen Gruppe („fcron“) installiert, beschränken sich die unbefugten Zugriffe auf die fcrontab-Konfigurationsdateien und die fcron-Einträge anderer Benutzer. Wurde der Scheduler jedoch mit den Rechten des Superuser implementiert, lassen sich beliebige Systemdateien einsehen. In der neusten Version 3.0.5 von fcrontab wurde diese Schwachstelle beseitigt. (vgw)