DFN-CERT

Advisory-Archiv

2017-1175: ncurses: Zwei Schwachstellen ermöglichen das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2017-07-06 19:33)
Neues Advisory
Version 2 (2017-07-07 17:51)
Für die SUSE Linux Enterprise Produkte Software Development Kit, Server for Raspberry Pi, Server und Desktop in der Version 12 SP2 sowie OpenStack Cloud Magnum Orchestration 7 stehen Sicherheitsupdates für ncurses zur Verfügung.
Version 3 (2017-07-17 12:20)
Für openSUSE Leap 42.2 stehen Sicherheitsupdates für 'ncurses' zur Verfügung, um die Schwachstellen zu beheben.
Version 4 (2017-08-08 13:52)
Für die SUSE Linux Enterprise 12 SP2 und 12 SP3 Produktvarianten Software Development Kit, Server und Desktop, die SUSE Linux Enterprise 11 SP4 Produktvarianten Software Development Kit, Debuginfo und Server sowie für Server for Raspberry Pi 12 SP2 und OpenStack Cloud Magnum Orchestration 7 stehen erneut Backport-Sicherheitsupdates für 'ncurses' bereit, welche nun auch zusätzlich die Denial-of-Service-Schwachstellen CVE-2017-11112 und CVE-2017-11113 adressieren.
Version 5 (2017-08-14 13:32)
Für die Distributionen openSUSE Leap 42.2 und openSUSE Leap 42.3 stehen Sicherheitsupdates für 'ncurses', die ebenfalls die Denial-of-Service (DoS)-Schwachstellen CVE-2017-11112 und CVE-2017-11113 beheben, zur Verfügung.

Betroffene Software

Entwicklung

Betroffene Plattformen

Linux

Beschreibung:

Ein entfernter, nicht authentisierter Angreifer kann zwei Schwachstellen in der Bibliothek ncurses mit Hilfe präparierter Eingaben ausnutzen, um beliebigen Programmcode ausführen zu lassen.

Für die SUSE Linux Enterprise Produkte Software Development Kit, Server und Debuginfo jeweils in Version 11 SP4 stehen Backport-Sicherheitsupdates für ncurses zur Behebung der Schwachstellen bereit.

Schwachstellen:

CVE-2017-10684

Schwachstelle in ncurses ermöglicht Ausführung beliebigen Programmcodes

CVE-2017-10685

Schwachstelle in ncurses ermöglicht Ausführung beliebigen Programmcodes

CVE-2017-11112

Schwachstelle in ncurses ermöglicht Denial-of-Service-Angriff

CVE-2017-11113

Schwachstelle in ncurses ermöglicht Denial-of-Service-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.