DFN-CERT

Advisory-Archiv

2017-1904: GNU Wget: Zwei Schwachstellen ermöglichen die Ausführung beliebigen Programmcodes und Denial-of-Service-Angriffe

Historie:

Version 1 (2017-10-27 12:41)
Neues Advisory
Version 2 (2017-10-30 10:40)
Debian stellt für die Distributionen Jessie und Stretch Sicherheitsupdates bereit, um die Schwachstellen zu beheben. Für Fedora 25, 26 und 27 stehen Sicherheitsupdates in Form von 'wget-1.19.2-1'-Paketen im Status 'testing' zur Verfügung. Und für openSUSE Leap 42.2, openSUSE Leap 42.3 sowie SUSE Linux Enterprise Server for Raspberry Pi 12 SP2 wurden ebenfalls Sicherheitsupdates veröffentlicht.
Version 3 (2017-10-30 16:59)
Canonical stellt jetzt auch für Ubuntu Linux 12.04 LTS ein Backport-Sicherheitsupdate bereit, das zusätzlich zwei weitere, bereits bekannte Schwachstellen behebt. Diese ermöglichen einem entfernten, nicht authentisierten Angreifer das Umgehen von Sicherheitsvorkehrungen (CVE-2016-7098) und möglicherweise die Darstellung falscher Informationen (CVE-2017-6508).
Version 4 (2017-11-16 17:04)
Für SUSE OpenStack Cloud 6 und die SUSE Linux Enterprise Produkte Desktop 12 SP2 und SP3 sowie Server 12 LTSS, 12 SP1 LTSS, 12 SP2, 12 SP3 und Server for SAP 12 SP1 stehen Sicherheitsupdates zur Behebung der beiden Schwachstellen in 'wget' bereit.

Betroffene Software

Office
Systemsoftware

Betroffene Plattformen

Netzwerk
Cloud
Linux
Oracle
Virtualisierung

Beschreibung:

Zwei Schwachstellen in GNU WGet ermöglichen es einem entfernten, nicht authentisierten Angreifer Pufferüberläufe auf dem Heap und Stack zu erzeugen und dadurch Denial-of-Service-Angriffe durchzuführen oder beliebigen Programmcode zur Ausführung zu bringen.

Die Schwachstellen werden vom Hersteller mit der Version GNU WGet 1.19.2 behoben.

Für die Red Hat Enterprise Linux Produktvarianten Red Hat Enterprise Linux Server in verschiedenen Editionen (unter anderem Red Hat Enterprise Linux Server AUS 7.4, EUS 7.4 und TUS 7.4 sowie Red Hat Enterprise Linux Server 7), Red Hat Enterprise Linux Desktop und Workstation 7 sowie Red Hat Enterprise Linux EUS Compute Node 7.4, Red Hat Enterprise Linux for Scientific Computing 7 und Red Hat Virtualization Host 4 stehen Backport-Sicherheitsupdates zur Behebung der Schwachstellen bereit.

In Oracle Linux 7 (x86_64) werden die Schwachstellen ebenfalls durch ein Sicherheitsupdate behoben.

Canonical stellt für Ubuntu Linux 14.04 LTS, 16.04 LTS, 17.04 und 17.10 Backport-Sicherheitsupdates bereit, mit denen zusätzlich zwei weitere, bereits bekannte Schwachstellen behoben werden. Diese ermöglichen einem entfernten, nicht authentisierten Angreifer das Umgehen von Sicherheitsvorkehrungen (CVE-2016-7098) und möglicherweise die Darstellung falscher Informationen (CVE-2017-6508).

Schwachstellen:

CVE-2017-13089

Schwachstelle in WGet ermöglicht Ausführung beliebigen Programmcodes

CVE-2017-13090

Schwachstelle in WGet ermöglicht Ausführung beliebigen Programmcodes

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.