DFN-CERT

Advisory-Archiv

2017-1606: GNU Emacs: Eine Schwachstelle ermöglicht das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2017-09-13 12:18)
Neues Advisory
Version 2 (2017-09-14 18:00)
Debian stellt für die stabile Distribution Stretch und die vormals stabile Distribution Jessie und Backport-Sicherheitsupdates für den Emacs bereit, welche die beschriebene Schwachstelle beheben.
Version 3 (2017-09-18 13:04)
Debian stellt nun für die stabile Distribution Stretch auch ein Sicherheitsupdate für 'emacs25' in der Version 25.1+1-4+deb9u1 bereit, welches die beschriebene Schwachstelle behebt. Fedora hat das Sicherheitsupdate FEDORA-2017-810b044fd9 (Fedora 25, emacs-25.3-1.fc25) in den Status 'obsolete' überführt, für Fedora 25 wurde das neue Paket 'emacs-25.3-3.fc25' in FEDORA-2017-3a568adb31 mit veröffentlicht, während sich die Sicherheitsupdates für Fedora 26 (emacs-25.3-1.fc26) im Status 'stable' bzw. für Fedora 27 (emacs-25.3-1.fc27) im Status 'testing' befinden.
Version 4 (2017-09-20 11:23)
Für Fedora 27 steht das Paket 'emacs-25.3-3.fc27' als aktualisiertes Sicherheitsupdate im Status 'testing bereit, welches das mit der Meldung FEDORA-2017-2d9152a7e5 (Fedora 27, emacs-25.3-1.fc27) veröffentlichte und nun in den Status 'obsolete' versetzte Sicherheitsupdate ersetzt. Die entsprechende Referenz wurde dieser Meldung entfernt. Für Oracle Linux 7 (x86_64) steht ein Sicherheitsupdate zur Verfügung, ebenso für die Red Hat Enterprise Linux 7 Produkte Server, Server for ARM, Workstation, Desktop und Scientific Computing sowie EUS Compute Node 7.4, Server 7.4 EUS, AUS und TUS.
Version 5 (2017-09-20 18:15)
Für SUSE Linux Enterprise Server 12 LTSS, 12 SP1 LTSS, 12 SP2 und 12 SP3, Server for SAP 12 SP1, Server for Raspberry Pi 12 SP2, Desktop 12 SP2 und 12 SP3 sowie SUSE OpenStack Cloud 6 stehen Sicherheitsupdates bereit.
Version 6 (2017-09-21 11:50)
Für die Distributionen openSUSE Leap 42.2 und openSUSE Leap 42.3 sowie die SUSE Linux Enterprise Produkte Software Development Kit 11 SP4, Server 11 SP4 und 11 SP3 LTSS, Debuginfo 11 SP3 und 11 SP4 stehen Sicherheitsupdates für den Emacs bereit, um die Schwachstelle zu beheben.
Version 7 (2017-09-22 11:10)
Canonical veröffentlicht für Ubuntu 17.04 (Meldung USN-3428-1), Ubuntu 16.04 LTS und Ubuntu 14.04 LTS (Meldung USN-3427-1) Emacs-Sicherheitsupdates, welche die Schwachstelle beheben.

Betroffene Software

Entwicklung

Betroffene Plattformen

Netzwerk
Cloud
Linux
Oracle

Beschreibung:

Ein entfernter, nicht authentisierter Angreifer kann eine Schwachstelle in GNU Emacs ausnutzen, mit Hilfe einer präparierten 'text/enriched'-Datei, die von einem Emacs-Prozess geöffnet werden muss, um beliebigen Programmcode zur Ausführung zu bringen.

Für Fedora 25, 26 und 27 stehen Sicherheitsupdates auf die Emacs Version 25.3 bereit, um diese Schwachstelle zu beheben. Die Sicherheitsupdates für Fedora 26 und 27 befinden sich im Status 'testing'. Das Update für Fedora 25 besitzt derzeit noch den Status 'pending'.

Schwachstellen:

CVE-2017-14482

Schwachstelle in GNU Emacs ermöglicht Ausführung beliebigen Programmcodes

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.