2016-1362: CrackLib: Eine Schwachstelle ermöglicht die Ausführung beliebigen Programmcodes mit Benutzerrechten

Historie:

Version 1 (2016-08-22 12:07)

Neues Advisory

Version 2 (2016-09-01 11:16)

Für openSUSE Leap 42.1 steht ein Sicherheitsupdate für cracklib zur Verfügung.

Version 3 (2016-09-02 16:08)

Für die SUSE Produkte Studio Onsite 1.3, Linux Enterprise Software Development Kit 11 SP4, Server 11 SP4 und Debuginfo 11 SP4 werden Sicherheitsupdates für cracklib bereitgestellt.

Version 4 (2016-12-12 10:20)

Für Fedora 24 und 25 stehen Sicherheitsupdates in Form von 'cracklib-2.9.6-4'-Paketen im Status 'stable' bereit.

Version 5 (2020-05-25 09:45)

Für Debian 8 Jessie (LTS) steht ein Sicherheitsupdate für 'cracklib2' auf Version 2.9.2-1+deb8u1 zur Behebung der Schwachstelle bereit.

Betroffene Software

Sicherheit
Systemsoftware

Betroffene Plattformen

Linux

Beschreibung:

Ein lokaler Angreifer mit üblichen Benutzerrechten, der ein langes GECOS-Datenfeld erzeugt und in der Folge ein Werkzeug wie 'passwd' dazu verwendet, dieses Daten über CrackLib verarbeiten zu lassen, kann beliebigen Programmcode mit den Rechten des Benutzers ausführen oder einen Denial-of-Service-Zustand verursachen.

Für die SUSE Linux Enterprise Produkte Software Development Kit, Server und Desktop in der Version 12 SP1 stehen Sicherheitsupdates zur Verfügung.

Schwachstellen:

CVE-2016-6318

Schwachstelle in CrackLib ermöglicht Ausführung beliebigen Programmcodes

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.