2017-1899: RPM Package Manager: Zwei Schwachstellen ermöglichen das Erlangen von Administratorrechten

Historie:

Version 1 (2017-10-26 18:44): Neues Advisory
Version 2 (2017-11-03 16:42): Für Fedora 25 steht zur Behebung der Schwachstellen als Sicherheitsupdate auf die aktuelle Version 4.13.0.2 des Paketmanagers RPM das Paket 'rpm-4.13.0.2-1.fc25' im Status 'testing' bereit.
Version 3 (2018-10-23 12:31): Für die SUSE Linux Enterprise Produkte Software Development Kit, Desktop und Server in der Version 12 SP3 sowie SUSE Container-as-a-Service (CaaS)-Platform ALL und 3.0 sowie OpenStack Cloud Magnum Orchestration 7 stehen Sicherheitsupdates für 'rpm' bereit, um die beiden Schwachstellen zu beheben.
Version 4 (2018-10-24 17:44): Für openSUSE Leap 42.3 steht ein Sicherheitsupdate für 'rpm' bereit, um die beiden Schwachstellen zu beheben.
Version 5 (2018-11-26 11:33): Für SUSE Linux Enterprise (SLE) Software Development Kit, Server und Desktop 12 SP3 und SP4 sowie für SLE Server 12 SP2 LTSS, SP2 BCL, SP1 LTSS und LTSS, für SUSE Enterprise Storage 4, SUSE Container as a Service Plattform ALL und 3.0 sowie für OpenStack Cloud Magnum Orchestration 7 stehen Sicherheitsupdates für 'rpm' bereit, mit denen die beiden Schwachstellen behoben werden.
Version 6 (2019-04-29 14:47): Für SUSE Linux Enterprise Server for SAP 12 SP1 steht ein Sicherheitsupdate bereit, mit dem die Schwachstellen in 'rpm' adressiert werden.

Betroffene Software

Systemsoftware

Betroffene Plattformen

Netzwerk
Cloud
Linux

Beschreibung:

Zwei Schwachstellen im RPM Package Manager ermöglichen einem lokalen, einfach authentisierten Angreifer das Eskalieren von Privilegien, wodurch dieser sogar Administratorrechte erlangen kann.

Für Fedora 26 steht zur Behebung der Schwachstellen das Paket 'rpm-4.13.0.2-1.fc26' als Sicherheitsupdate im Status 'testing' bereit. RPM 4.13.0.2 ist die aktuelle Version des Paketmanagers.

Schwachstellen:

CVE-2017-7500

Schwachstelle in Red Hat Package Manager ermöglicht Privilegieneskalation

CVE-2017-7501