DFN-CERT

Advisory-Archiv

2018-0094: Transmission: Eine Schwachstelle ermöglicht u.a. die Ausführung beliebigen Programmcodes

Historie:

Version 1 (2018-01-16 11:28)
Neues Advisory
Version 2 (2018-01-17 09:54)
Für Fedora 27 und Fedora EPEL 7 stehen ebenfalls Backport-Sicherheitsupdates in Form von 'transmission-2.92-11'-Paketen bereit, welche sich derzeit im Status 'testing' befinden.
Version 3 (2018-01-17 10:00)
Canonical adressiert die Schwachstelle mittels Sicherheitsupdates für Ubuntu 14.04 LTS, Ubuntu 16.04 LTS und Ubuntu 17.10.
Version 4 (2018-01-24 10:23)
Für Fedora 26 und 27 sowie für Fedora EPEL 7 stehen aktualisierte Sicherheitsupdates in Form von 'transmission-2.92-12'-Paketen im Status 'testing' zur Verfügung. Die Sicherheitsupdates FEDORA-EPEL-2018-c0d5d190b0 und FEDORA-2018-b166805347 für Fedora EPEL 7 und Fedora 26 ersetzen die früheren FEDORA-EPEL-2018-85e532c970 und FEDORA-2018-b3d58d82a0, welche in den Status 'obsolete' versetzt und deshalb hier entfernt wurden. Mit Sicherheitsupdate FEDORA-2018-499a02cc9d für Fedora 27 wird ebenfalls auf OpenSSL 1.1 aktualisiert, das frühere FEDORA-2018-d1e263e68e verbleibt im Status 'stable'.
Version 5 (2019-04-09 12:00)
Für Fedora EPEL 7 steht ein neues Sicherheitsupdate in Form des Pakets 'transmission-2.94-6.el7' im Status 'testing' bereit. Das zuvor veröffentlichte Sicherheitsupdate FEDORA-EPEL-2018-c0d5d190b0 befindet sich mittlerweile im Status 'stable'.

Betroffene Software

Netzwerk

Betroffene Plattformen

Linux

Beschreibung:

Eine Schwachstelle ermöglicht einem entfernten, nicht authentisierten Angreifer die Ausführung beliebigen Programmcodes mit Hilfe einer manipulierten Webseite. Voraussetzung ist, dass der Benutzer diese Webseite für etwa 20 Minuten geöffnet hat.

Bislang gibt es kein offizielles Release für Transmission, welches die Schwachstelle behebt. Die Behebung der Schwachstelle ist in der nächsten Version 2.93 angekündigt. Debian stellt für die Distributionen Jessie (oldstable) 8.10 und Stretch (stable) 9.3 Backport-Sicherheitsupdates zur Behebung der Schwachstelle zur Verfügung. Für Fedora 26 steht ebenfalls ein Backport-Sicherheitsupdate im Status 'pending' zur Verfügung.

Schwachstellen:

CVE-2018-5702

Schwachstelle in Transmission ermöglicht u.a. Ausführung beliebigen Programmcodes

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.