DFN-CERT

Advisory-Archiv

2018-0574: Librelp: Eine Schwachstelle ermöglicht das Ausführen beliebigen Programmcodes mit den Rechten des Dienstes

Historie:

Version 1 (2018-03-27 11:45)
Neues Advisory
Version 2 (2018-03-28 11:59)
Für openSUSE Leap 42.3 steht ein Sicherheitsupdate für das Paket 'librelp' zur Behebung der Schwachstelle bereit. SUSE stellt in einem weiteren Sicherheitshinweis auch Informationen zu Sicherheitsupdates für SUSE OpenStack Cloud 6 und die SUSE Linux Enterprise Produkte Software Development Kit 12 SP2, Server for SAP 12 SP1, Server for Raspberry Pi 12 SP2 sowie Server 12 SP2, 12 SP1 LTSS und 12 LTSS für das Paket 'librelp' zur Verfügung.
Version 3 (2018-03-29 12:08)
Canonical veröffentlicht für Ubuntu 14.04 LTS ein Sicherheitsupdate für Librelp, um die Schwachstelle zu beheben.
Version 4 (2018-04-25 11:57)
Oracle veröffentlicht für Oracle Linux 6 (i386, x86_64) und Oracle Linux 7 (x86_64) Sicherheitsupdates für Librelp zur Behebung der Schwachstelle. Red Hat stellt für die Red Hat Enterprise Linux 6 und 7 Produktvarianten Server, Workstation, Desktop und for Scientific Computing sowie Server Extended Update Support 7.5, for ARM 7 und EUS Compute Node 7.5 Sicherheitsupdates zur Verfügung.
Version 5 (2018-05-24 12:35)
Für die Red Hat Enterprise Linux Server AUS und TUS Varianten in den Versionen 6.6, 7.2, 7.3 und 7.4 sowie für die Extended Update Support (EUS)-Varianten in den Versionen 6.7, 7.3 und 7.4 sowie für Red Hat Enterprise EUS Compute Node in den Versionen 6.7, 7.3 und 7.4 stehen Sicherheitsupdates für Librelp zur Behebung der Schwachstelle bereit.
Version 6 (2022-06-01 12:34)
Für SUSE Linux Enterprise Server 12 SP3 BCL / LTSS, 12 SP4 LTSS und 12 SP5, SUSE Linux Enterprise Server for SAP 12 SP3 und 12 SP4, SUSE Linux Enterprise Server for SAP Applications 12 SP5, SUSE Linux Enterprise Software Development Kit 12 SP5, SUSE OpenStack Cloud 8 und 9 sowie SUSE OpenStack Cloud Crowbar 8 und 9 stehen Sicherheitsupdates für 'librelp' bereit, um die Schwachstelle zu beheben.

Betroffene Software

Systemsoftware

Betroffene Plattformen

Netzwerk
Cloud
Linux
Oracle

Beschreibung:

Ein Angreifer kann die Schwachstelle mittels eines manipulierten X.509-Zertifikates aus der Ferne ausnutzen, um beliebigen Programmcode mit den Rechten des betroffenen Dienstes auszuführen.

 Für die Ausnutzung der Schwachstelle sind keine Privilegien erforderlich.

Der Hersteller bestätigt die Schwachstelle und stellt die Version 1.2.15 als Sicherheitsupdate bereit.

Für Fedora 26 und 27 stehen 'librelp-1.2.15-1'-Pakete im Status 'testing' als Sicherheitsupdates zur Verfügung. Debian adressiert die Schwachstelle über Backport-Sicherheitsupdates für die alte stabile Distribution Jessie und die stabile Distribution Stretch. SUSE stellt für die SUSE Linux Enterprise Produkte Software Development Kit und Server in der Version 12 SP3 ebenfalls Backport-Sicherheitsupdates zur Behebung der Schwachstelle bereit.

Schwachstellen:

CVE-2018-1000140

Schwachstelle in Librelp ermöglicht Ausführen beliebigen Programmcodes mit den Rechten des betroffenen Dienstes

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.