DFN-CERT

Advisory-Archiv

2018-1306: Perl Archive::Zip: Eine Schwachstelle ermöglicht einen Directory-Traversal-Angriff

Historie:

Version 1 (2018-07-05 12:55)
Neues Advisory
Version 2 (2018-07-12 11:14)
Für Fedora 27 und 28 stehen die Pakete 'perl-Archive-Zip-1.59-6.fc27' und 'perl-Archive-Zip-1.60-3.fc28' im Status 'testing' zur Behebung der Schwachstelle zur Verfügung.
Version 3 (2018-07-25 12:17)
Für Debian Jessie (LTS) steht ein Sicherheitsupdate zur Behebung der Schwachstelle in 'libarchive-zip-perl' bereit.
Version 4 (2018-08-17 12:03)
Für die SUSE Linux Enterprise Produkte Server 11 SP4, Server 12 SP3 und Desktop 12 SP3 sowie SUSE Linux Enterprise Module for Basesystem 15 stehen Sicherheitsupdates für 'perl-Archive-Zip' zur Verfügung, um die referenzierte Schwachstelle zu beheben.
Version 5 (2018-08-20 11:55)
Für die Distribution openSUSE Leap 15.0 steht ein Sicherheitsupdate für 'perl-Archive-Zip' zur Verfügung, um die Schwachstelle zu beheben.
Version 6 (2018-09-24 12:58)
Debian veröffentlicht für die stabile Distribution Stretch (9.5) ein Sicherheitsupdate für 'libarchive-zip-perl', um die Schwachstelle zu beheben.

Betroffene Software

Datensicherung
Systemsoftware

Betroffene Plattformen

Linux

Beschreibung:

Ein entfernter, nicht authentisierter Angreifer kann durch eine speziell präparierte Archiv-Datei beliebige Dateien im Kontext des Perl-Interpreters überschreiben oder verändern (Directory-Traversal-Angriff).

Canonical stellt für Ubuntu 12.04 ESM, 14.04 LTS, 16.04 LTS, 17.10 und 18.04 LTS Sicherheitsupdates für das Paket 'libarchive-zip-perl' zur Behebung der Schwachstelle zur Verfügung. Canonical spricht hier lediglich von der Möglichkeit zum Ausspähen von Informationen durch Ausnutzung der Schwachstelle, dies steht im Widerspruch zur über die Entwickler des Perl-Moduls veröffentlichten Problembeschreibung.

Schwachstellen:

CVE-2018-10860

Schwachstelle in Perl Archive::Zip ermöglicht Directory-Traversal-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.