2017-0500: GNU Lib C: Mehrere Schwachstellen ermöglichen u.a. das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2017-03-22 10:26)

Neues Advisory

Version 2 (2017-03-29 15:22)

Oracle stellt für Oracle Linux 6 (i386, x86_64) ein Sicherheitsupdate für 'glibc' bereit.

Version 3 (2017-03-30 16:51)

Für Oracle VM 3.3 und Oracle VM 3.4 stehen Sicherheitsupdates für glibc über das 'Unbreakable Linux Network' zur Verfügung, über die die aufgeführten Schwachstellen behoben werden. Die Schwachstelle CVE-2015-7547, die ein entfernter, nicht authentifizierter Angreifer zum Ausführen beliebigen Programmcodes mit Benutzerrechten ausnutzen kann, wird für Oracle VM ebenfalls referenziert und ist daher zusätzlich in dieses Advisory aufgenommen worden.

Version 4 (2017-08-02 12:55)

Red Hat stellt für verschiedene Red Hat Enterprise Linux 7 Releases aus den Bereichen Client, ComputeNode, Server und Workstation sowie für Red Hat Virtualization Host 4 Sicherheitsupdates für GNU Lib C bereit. Die Schwachstelle CVE-2015-7547 wird hier nicht erwähnt. Zusätzlich zu den referenzierten Schwachstellen wird CVE-2015-8777 adressiert, die einem lokalen, nicht authentisierten Angreifer das Umgehen von Sicherheitsvorkehrungen ermöglicht. Die Sicherheitsupdates wurden im Rahmen des Releases von Red Hat Enterprise Linux 7.4 veröffentlicht. Im Anschluss an ein Update müssen betroffene Systeme oder zumindest alle Dienste, die mit der Bibliothek verknüpft sind, neu gestartet werden.

Version 5 (2017-08-08 20:17)

Oracle stellt für Oracle Linux 7 (x86_64) ein Sicherheitsupdate für 'glibc' bereit. Die Schwachstelle CVE-2015-7547 wird in der Sicherheitsmeldung von Oracle nicht erwähnt, zusätzlich zu den referenzierten Schwachstellen wird CVE-2015-8777 (Umgehen von Sicherheitsvorkehrungen) adressiert.

Version 6 (2017-08-10 18:50)

Für Oracle Linux 7 (x86_64) wird ein weiteres Sicherheitsupdate für 'glibc' für Ksplice bereitgestellt. In der Änderungshistorie dieses Sicherheitsupdates werden nur die Schwachstellen CVE-2015-8776 und CVE-2015-8778 referenziert.

Betroffene Software

Systemsoftware

Betroffene Plattformen

Linux
Oracle
Virtualisierung

Beschreibung:

Mehrere Schwachstelle in GNU Lib C ermöglichen einem entfernten, nicht authentifizierten Angreifer das Ausführen beliebigen Programmcodes, verschiedene Denial-of-Service (DoS)-Angriffe sowie das Ausspähen von Informationen.

Für die Red Hat Enterprise Linux 6 Produkte Desktop, HPC Node, Server und Workstation stehen Sicherheitsupdates bereit.

Schwachstellen:

CVE-2014-9761

Schwachstelle in GNU Lib C ermöglicht u.a. Ausführen beliebigen Programmcodes

CVE-2015-7547

Schwachstelle in GNU Lib C ermöglicht u. a. das Ausführen beliebigen Programmcodes mit Benutzerrechten

CVE-2015-8776

Schwachstelle in GNU Lib C ermöglicht u.a. Ausspähen von Informationen

CVE-2015-8778

Schwachstelle in GNU Lib C ermöglicht u.a. Ausführen beliebigen Programmcodes

CVE-2015-8779

Schwachstelle in GNU Lib C ermöglicht u.a. Ausführen beliebigen Programmcodes

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.