2017-1630: SUSE Container, MariaDB, ncurses u.a.: Mehrere Schwachstellen ermöglichen u.a. das Ausführen beliebigen Programmcodes
Historie:
- Version 1 (2017-09-15 14:32)
- Neues Advisory
Betroffene Software
Entwicklung
Office
Server
Sicherheit
Systemsoftware
Betroffene Plattformen
Cloud
Linux
Beschreibung:
Mehrere Schwachstellen in den von SUSE Container as a Service (CaaS) Platform genutzten Komponenten ncurses, Expat, Libzypp, zypper, cURL, LibXML2 und PyCrypto ermöglichen einem entfernten, nicht authentisierten Angreifer das Umgehen von Sicherheitsvorkehrungen, Ausspähen von Informationen, Ausführen beliebigen Programmcodes und die Durchführung verschiedener Denial-of-Service (DoS)-Angriffe. Mehrere Schwachstellen in der ebenfalls verwendeten MariaDB können von einem einfach authentisierten, entfernten Angreifer für die Manipulation von Daten und das Bewirken von Denial-of-Service-Zuständen ausgenutzt werden.
Über die Docker Images, die mit der SUSE CaaS Platform 1.0 bereitgestellt werden, stehen Sicherheitsupdates für die verschiedenen Komponenten zur Verfügung, welche die aufgeführten Schwachstellen beheben. Zusätzlich stehen darüber unterschiedliche Bug Fixes für weitere Komponenten wie z.B. OpenSSL bereit, mit denen insgesamt 46 Korrekturen umgesetzt werden.
Schwachstellen:
CVE-2013-7459
Schwachstelle in PyCrypto ermöglicht Ausführen beliebigen ProgrammcodesCVE-2016-9063
Schwachstelle in Expat ermöglicht Ausführung beliebigen ProgrammcodesCVE-2017-1000100
Schwachstelle in cURL und libcurl ermöglicht Denial-of-Service-Angriff und Ausspähen von InformationenCVE-2017-1000101
Schwachstelle in cURL ermöglicht Ausspähen von InformationenCVE-2017-10684
Schwachstelle in ncurses ermöglicht Ausführung beliebigen ProgrammcodesCVE-2017-10685
Schwachstelle in ncurses ermöglicht Ausführung beliebigen ProgrammcodesCVE-2017-11112
Schwachstelle in ncurses ermöglicht Denial-of-Service-AngriffCVE-2017-11113
Schwachstelle in ncurses ermöglicht Denial-of-Service-AngriffCVE-2017-3308
Schwachstelle in Oracle MySQL / MariaDB ermöglicht Denial-of-Service-AngriffCVE-2017-3309
Schwachstelle in Oracle MySQL / MariaDB ermöglicht Denial-of-Service-AngriffCVE-2017-3453
Schwachstelle in Oracle MySQL / MariaDB ermöglicht Denial-of-Service-AngriffCVE-2017-3456
Schwachstelle in Oracle MySQL / MariaDB ermöglicht Denial-of-Service-AngriffCVE-2017-3464
Schwachstelle in Oracle MySQL / MariaDB ermöglicht Manipulation von DatenCVE-2017-7435
Schwachstelle in Libzypp ermöglicht Umgehen von SicherheitsvorkehrungenCVE-2017-7436
Schwachstelle in Libzypp ermöglicht Umgehen von SicherheitsvorkehrungenCVE-2017-8872
Schwachstelle in LibXML2 ermöglicht u. a. Denial-of-Service-AngriffCVE-2017-9233
Schwachstelle in Expat ermöglicht Denial-of-Service-AngriffCVE-2017-9269
Schwachstelle in Libzypp ermöglicht Umgehen von Sicherheitsvorkehrungen
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.