2018-1167: pass: Eine Schwachstelle ermöglicht u. a. die Ausführung beliebigen Programmcodes
Historie:
- Version 1 (2018-06-15 16:03)
- Neues Advisory
- Version 2 (2018-09-03 11:52)
- Für Fedora EPEL 7 steht ein neues Sicherheitsupdate für 'pass' im Status 'testing' bereit. Das bisherige Sicherheitsupdate befindet sich damit im Status 'obsolete' (Referenz hier entfernt).
Betroffene Software
Sicherheit
Betroffene Plattformen
Linux
Beschreibung:
Ein lokaler, nicht authentisierter Angreifer, der die Datei '~/.password-store' von pass manipulieren und einen speziell präparierten Schlüssel in den Schlüsselring eines Benutzers von pass injizieren kann, kann eine Schwachstelle ausnutzen, um den lokalen '.gpg-id'-Schlüssel durch einen eigenen zu ersetzen und die lokal vorhandenen Passwörter mit anderen Schlüsseln zu verschlüsseln. Dadurch geht der Zugriff auf die Passwörter verloren. Darüber hinaus kann der Angreifer auf ähnliche Weise vorhandene Erweiterungen (Extensions) von pass durch eigene ersetzen und in der Folge beliebigen Programmcode zur Ausführung bringen.
Der Hersteller informiert detailliert über die Schwachstelle und weitere damit verbundene Probleme und stellt pass 1.7.2 als Sicherheitsupdate zur Verfügung. Erweiterungen sind in pass standardmäßig deaktiviert.
Für Fedora 27 und 28 sowie für Fedora EPEL 7 stehen Sicherheitsupdates auf die aktuelle Version von pass im Status 'pending' bereit.
Schwachstellen:
CVE-2018-12356
Schwachstelle in pass ermöglicht u.a. die Ausführung beliebigen Programmcodes
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.