2017-1323: Supervisor: Eine Schwachstelle ermöglicht die Ausführung beliebigen Programmcodes mit den Rechten des Dienstes

Historie:

Version 1 (2017-07-31 16:49)

Neues Advisory

Version 2 (2017-08-14 13:19)

Debian stellt für die Distributionen Jessie und Stretch Sicherheitsupdates für Supervisor zur Behebung der Schwachstelle bereit.

Betroffene Software

Systemsoftware

Betroffene Plattformen

Linux

Beschreibung:

Eine Schwachstelle in Supervisor ermöglicht einem entfernten, einfach authentisierten Angreifer die Ausführung beliebiger Kommandos mit den Rechten des Benutzers, der 'supervisord' ausführt. Abhängig von der Konfiguration von Supervisor kann dies der Benutzer 'root' sein.

Der Hersteller stellt Supervisor 3.3.3 als Sicherheitsupdate zur Verfügung. Der Patch wurde zusätzlich auf die Versionen 3.0.1, 3.1.4 und 3.2.4 portiert, da die Schwachstelle in allen Versionen von Supervisor seit 3.0a1 besteht.

Für Fedora 24, 25 und 26 sowie Fedora EPEL 7 stehen aktuelle Versionen von Supervisor als Sicherheitsupdates im Status 'testing' bereit. Im Einzelnen sind dies Supervisor 3.1.4 für Fedora 24 und Fedora EPEL 7, Supervisor 3.2.4 für Fedora 25 und Supervisor 3.3.3 für Fedora 26.

Schwachstellen:

CVE-2017-11610

Schwachstelle in Supervisor ermöglicht Ausführung beliebigen Programmcodes mit Benutzerrechten

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.