2018-1112: HP-UX Secure Shell (OpenSSH), VERITAS File System (VxFS): Mehrere Schwachstellen ermöglichen u.a. die Eskalation von Privilegien
Historie:
- Version 1 (2018-06-11 15:51)
- Neues Advisory
- Version 2 (2018-08-10 14:32)
- Hewlett Packard Enterprise informiert über das bevorstehende Release einer permanenten Fehlerbehebung für das 'dalloc'-Problem in Form eines Patches VxFS 6.1.0.400 Patch (PHKL_44716). Der aktualisierte Patch wird das 'dalloc'-Feature erneut per Voreinstellung aktivieren, falls dieses durch die Installation von PHKL_44713 (VxFS 6.1.0.300) deaktiviert wurde, und stellt sicher, dass alle Probleme im Zusammenhang mit 'dalloc flushing' behoben sind. Der Hersteller empfiehlt den Patch auf HP-UX 11i v3 Systemen mit VxFS 6.1 zu installieren, sobald dieser verfügbar ist. Weiterhin wird eine neue Ignite-UX Version gebaut werden, welche den kompletten Fix für VxFS 6.1 'dalloc' mit sich bringen wird.
Betroffene Software
Sicherheit
Systemsoftware
Betroffene Plattformen
HP
UNIX
Beschreibung:
Mehrere Schwachstellen in OpenSSH, das von der HP Secure Shell verwendet wird, ermöglichen einem entfernten, einfach authentisierten Angreifer die Ausführung beliebigen Programmcodes, die Eskalation seiner Privilegien und weitere, nicht spezifizierte Angriffe gegen Vertraulichkeit und Integrität des Überwachungsprozesses. Ein lokaler, einfach authentisierter Angreifer kann möglicherweise eine weitere Schwachstelle ausnutzen, um sensitive Informationen über privates Schlüsselmaterial des Hostsystems auszuspähen.
Hewlett Packard Enterprise stellt die HP-UX 11i Secure Shell Software Version A.07.40.003 als Sicherheitsupdate für HP-UX 11i v3 bereit. Weiterhin informiert der Hersteller über ein Problem im 'Delayed Allocation (dalloc) Feature for Extending Writes of VERITAS File System' (VxFS) 6.1 auf HP-UX 11i v3, welches per Voreinstellung aktiviert ist. Dieses kann zu einer 'lautlosen' Korruption von Daten führen, wodurch es schließlich zu Systemausfällen kommen kann. Es wird dringend empfohlen den VxFS 6.1.0.300 Patch (PHKL_44713) schnellstmöglich zu installieren. Danach ist ein Neustart erforderlich.
Schwachstellen:
CVE-2016-10009
Schwachstelle in OpenSSH ermöglicht Ausführung beliebigen ProgrammcodesCVE-2016-10010
Schwachstelle in OpenSSH ermöglicht PrivilegieneskalationCVE-2016-10011
Schwachstelle in OpenSSH ermöglicht Ausspähen von InformationenCVE-2016-10012
Schwachstelle in OpenSSH ermöglicht Privilegieneskalation
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.