DFN-CERT

Advisory-Archiv

2018-1167: pass: Eine Schwachstelle ermöglicht u. a. die Ausführung beliebigen Programmcodes

Historie:

Version 1 (2018-06-15 16:03)
Neues Advisory
Version 2 (2018-09-03 11:52)
Für Fedora EPEL 7 steht ein neues Sicherheitsupdate für 'pass' im Status 'testing' bereit. Das bisherige Sicherheitsupdate befindet sich damit im Status 'obsolete' (Referenz hier entfernt).

Betroffene Software

Sicherheit

Betroffene Plattformen

Linux

Beschreibung:

Ein lokaler, nicht authentisierter Angreifer, der die Datei '~/.password-store' von pass manipulieren und einen speziell präparierten Schlüssel in den Schlüsselring eines Benutzers von pass injizieren kann, kann eine Schwachstelle ausnutzen, um den lokalen '.gpg-id'-Schlüssel durch einen eigenen zu ersetzen und die lokal vorhandenen Passwörter mit anderen Schlüsseln zu verschlüsseln. Dadurch geht der Zugriff auf die Passwörter verloren. Darüber hinaus kann der Angreifer auf ähnliche Weise vorhandene Erweiterungen (Extensions) von pass durch eigene ersetzen und in der Folge beliebigen Programmcode zur Ausführung bringen.

Der Hersteller informiert detailliert über die Schwachstelle und weitere damit verbundene Probleme und stellt pass 1.7.2 als Sicherheitsupdate zur Verfügung. Erweiterungen sind in pass standardmäßig deaktiviert.

Für Fedora 27 und 28 sowie für Fedora EPEL 7 stehen Sicherheitsupdates auf die aktuelle Version von pass im Status 'pending' bereit.

Schwachstellen:

CVE-2018-12356

Schwachstelle in pass ermöglicht u.a. die Ausführung beliebigen Programmcodes

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.