2016-0810: Expat: Eine Schwachstelle ermöglicht u.a. Ausführung beliebigen Programmcodes mit Benutzerrechten

Historie:

Version 1 (2016-05-19 17:18)

Neues Advisory

Version 2 (2016-06-13 13:19)

Debian hat die Schwachstelle CVE-2016-4472 in das Security Advisory DSA-3582-1 mit aufgenommen, die aufgrund einer unvollständigen Behebung der Schwachstelle CVE-2015-1283 existiert.

Betroffene Software

Entwicklung
Systemsoftware

Betroffene Plattformen

Linux

Beschreibung:

Ein entfernter, nicht authentifizierter Angreifer kann mit Hilfe speziell präparierter XML-Daten einen Denial-of-Service (DoS)-Angriff auf eine mit Expat verknüpfte Anwendung durchführen und darüber hinaus beliebigen Programmcode mit den Rechten des Benutzers der Anwendung zur Ausführung bringen.

Canonical stellt Sicherheitsupdates für die Distributionen Ubuntu 12.04 LTS, 14.04 LTS, 15.10 und 16.04 LTS bereit, welche die Schwachstelle adressieren. Debian stellt ein Sicherheitsupdate für die Distribution Jessie (stable) zur Verfügung, das zusätzlich einen früheren Fix für die ähnliche Schwachstelle CVE-2015-1283 auffrischt. Nach Einspielen des Sicherheitsupdates müssen mit Expat verknüpfte Anwendungen neu gestartet werden.

Schwachstellen:

CVE-2015-1283

Schwachstelle in Expat ermöglicht Ausführung beliebigen Programmcodes

CVE-2016-0718

Schwachstelle in Expat ermöglicht Ausführung beliebigen Programmcodes

CVE-2016-4472

Schwachstelle in Expat ermöglicht Ausführung beliebigen Programmcodes

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.