2017-0344: shadow: Zwei Schwachstellen ermöglichen das Erlangen von Benutzerrechten und einen Denial-of-Service-Angriff

Historie:

Version 1 (2017-02-27 18:48)

Neues Advisory

Version 2 (2017-05-05 12:35)

Canonical stellt für die Distributionen Ubuntu 17.04, Ubuntu 16.10, Ubuntu 16.04 LTS und Ubuntu 14.04 LTS Sicherheitsupdates für 'shadow' bereit.

Version 3 (2017-05-17 14:46)

Durch das Sicherheitsupdate für CVE-2017-2616 für die Distributionen Ubuntu 17.04, Ubuntu 16.10, Ubuntu 16.04 LTS und Ubuntu 14.04 LTS wurde eine Regression in der Signalbehandlung von su (Signal Handling) eingeführt. Canonical stellt ein neues Sicherheitsupdate zur Behebung dieser Regression bereit.

Version 4 (2017-11-15 11:55)

Canonical veröffentlicht für Ubuntu 12.04 LTS ein Sicherheitsupdate für shadow, um die Schwachstelle CVE-2016-6252 zu beheben.

Version 5 (2018-07-19 18:17)

Für SUSE Linux Enterprise Server for SAP 12 SP1 und SP2, Server 12 LTSS, 12 SP1 LTSS, 12 SP2 LTSS und 12 SP3, Desktop 12 SP3 sowie für Enterprise Storage 4, Container as a Service Platform ALL, OpenStack Magnum Orchestration und OpenStack Cloud 7 stehen Sicherheitsupdates für 'shadow' bereit, um die Schwachstelle CVE-2016-6252 zu beheben.

Betroffene Software

Sicherheit
Systemsoftware

Betroffene Plattformen

Netzwerk
Cloud
Linux

Beschreibung:

Eine Schwachstelle in shadow ermöglicht einem lokalen, einfach authentisierten Angreifer einen Denial-of-Service (DoS)-Angriff durchzuführen. Ein lokaler, nicht authentisierter Angreifer kann eine weitere Schwachstelle ausnutzen, um Privilegien zu erlangen.

Debian stellt für die Distribution Debian Jessie (stable) ein Backport-Sicherheitsupdate bereit, um diese Schwachstellen zu beheben.

Schwachstellen:

CVE-2016-6252

Schwachstelle in shadow-utils ermöglicht Erlangen von Privilegien

CVE-2017-2616

Schwachstelle in util-linux / shadow-utils ermöglicht Denial-of-Service-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.