2018-1399: Mutt: Mehrere Schwachstellen ermöglichen u. a. die Ausführung beliebigen Programmcodes
Historie:
- Version 1 (2018-07-17 18:44)
- Neues Advisory
- Version 2 (2018-07-20 17:32)
- Mittlerweile wurden verschiedene Schwachstellenbezeichner (CVEs) für die Schwachstellen in Mutt veröffentlicht. Demzufolge ermöglichen mehrere Schwachstellen einem entfernten, nicht authentisierten Angreifer die Ausführung beliebigen Programmcodes, die Manipulation von Dateien sowie die Ausführung von Denial-of-Service (DoS)-Angriffen und das Umgehen von Sicherheitsvorkehrungen. Für die meisten der Schwachstellen liegen keine Informationen darüber vor, auf welche Art und Weise der Angreifer die Schwachstelle ausnutzen kann und in welcher Position sich der Angreifer befinden muss. Einige der Schwachstellen lassen sich mit Hilfe eines IMAP-Servers ausnutzen, welchen der Angreifer kontrolliert und mit dem ein Nutzer sich verbinden muss. Für Fedora 27 und 28 stehen Sicherheitsupdates in Form der Pakete 'mutt-1.9.2-2.fc27' und 'mutt-1.10.1-1.fc28' im Status 'testing' bereit.
- Version 3 (2018-07-24 11:43)
- Canonical stellt für Ubuntu 18.04 LTS, Ubuntu 16.04 LTS, Ubuntu 14.04 LTS und Ubuntu 12.04 ESM Backport-Sicherheitsupdates für 'mutt' zur Verfügung, um die Schwachstellen zu beheben.
- Version 4 (2018-07-30 19:15)
- Für SUSE Linux Enterprise Desktop und Server 12 SP3 sowie für SUSE Linux Enterprise Module for Basesystem 15 stehen Sicherheitsupdates bereit, mit denen Mutt auf Version 1.10.1. aktualisiert ist. Zusätzlich zu den vom Hersteller bestätigten Schwachstellen in dieser Version werden hier die Schwachstelle CVE-2014-9116 in Mutt 1.5.23 und die Schwachstellen CVE-2018-14360, CVE-2018-14361 und CVE-2018-14363 aus NeoMutt erwähnt. Die Schwachstelle CVE-2014-9116 ist von SUSE bereits seit 2015 mit einem eigenen Patch geschlossen, so dass es sich hier um keine neue Schwachstelle handelt. NeoMutt ist eine Abspaltung (Fork) von Mutt, der dort betroffene Programmcode ist in Mutt selbst nicht enthalten. Diese vier genannten Schwachstellen wurden entsprechend nicht in dieses Advisory aufgenommen.
- Version 5 (2018-08-02 16:49)
- Für Debian Jessie (LTS) steht ein Backport-Sicherheitsupdate bereit, mit dem die referenzierten Schwachstellen in Mutt und zusätzlich die Schwachstellen CVE-2018-14360, CVE-2018-14361 und CVE-2018-14363 aus NeoMutt adressiert werden.
- Version 6 (2018-08-06 18:33)
- Für openSUSE Leap 15.0 steht ein Sicherheitsupdate bereit, mit dem 'mutt' auf Version 1.10.1 aktualisiert wird. Im Sicherheitshinweis werden zusätzlich die Schwachstellen CVE-2014-9116 aus einer älteren Version der Software und CVE-2018-14360, CVE-2018-14361 und CVE-2018-14363 aus NeoMutt genannt.
- Version 7 (2018-08-17 15:21)
- Für die SUSE Linux Enterprise Produkte Debuginfo 11 SP3 und 11 SP4 sowie Server 11 SP3 LTSS und 11 SP4 stehen Sicherheitsupdates für 'mutt' zur Behebung der Schwachstellen CVE-2018-14349, CVE-2018-14350, CVE-2018-14352 bis CVE-2018-14359 und CVE-2018-14362 bereit.
- Version 8 (2018-08-20 14:43)
- Debian stellt für die Distribution Stretch 9.5 (stable) ein Backport-Sicherheitsupdate zur Behebung der Schwachstellen zur Verfügung.
- Version 9 (2018-09-28 11:54)
- Canonical stellt mittels der Ubuntu Security Notice USN-3719-3 ein neues Mutt-Paket für Ubuntu 16.04 LTS zur Verfügung, da mit dem ersten Sicherheitsupdate (USN-3719-1) die notwendigen Korrekturen nicht richtig in das Mutt-Paket für die Distribution 16.04 LTS eingebracht wurden.
Betroffene Software
Office
Betroffene Plattformen
Linux
Beschreibung:
Mehrere nicht näher spezifizierte Schwachstellen in Mutt ermöglichen einem vermutlich entfernten, nicht authentisierten Angreifer die Ausführung verschiedener Denial-of-Service (DoS)-Angriffe sowie das Umgehen von Sicherheitsvorkehrungen. Eine Schwachstelle in GnuPG, das in Mutt verwendet wird, ermöglicht dem Angreifer die Darstellung falscher Informationen.
Der Hersteller stellt Mutt 1.10.1 zur Behebung der Schwachstellen und einer Reihe weiterer Bugs zur Verfügung. In den Hinweisen zur Veröffentlichung wird auf die Möglichkeit zur Injektion von Programmcode und zur Pfadtraversierung hingewiesen. Das Update wird Nutzern von POP und IMAP zeitnah empfohlen.
Schwachstellen:
CVE-2018-14349
Schwachstelle in Mutt und NeoMutt ermöglicht u. a. Ausspähen von InformationenCVE-2018-14350 CVE-2018-14358
Schwachstellen in Mutt ermöglichen u. a. Denial-of-Service-AngriffeCVE-2018-14351
Schwachstelle in Mutt und NeoMutt ermöglicht u. a. Denial-of-Service-AngriffCVE-2018-14352
Schwachstelle in Mutt ermöglicht u. a. Denial-of-Service-AngriffCVE-2018-14353
Schwachstelle in Mutt und NeoMutt ermöglicht u. a. Denial-of-Service-AngriffCVE-2018-14354 CVE-2018-14357
Schwachstellen in Mutt ermöglichen Ausführung beliebigen ProgrammcodesCVE-2018-14355
Schwachstelle in Mutt ermöglicht Manipulation von DateienCVE-2018-14356
Schwachstelle in Mutt und NeoMutt ermöglicht Umgehen von SicherheitsvorkehrungenCVE-2018-14359
Schwachstelle in Mutt und NeoMutt ermöglicht u. a. Denial-of-Service-AngriffCVE-2018-14360
Schwachstelle in Mutt und NeoMutt ermöglicht u. a. Denial-of-Service-AngriffCVE-2018-14361
Schwachstelle in Mutt und NeoMutt ermöglicht u. a. Denial-of-Service-AngriffCVE-2018-14362
Schwachstelle in Mutt und NeoMutt ermöglicht Umgehen von SicherheitsvorkehrungenCVE-2018-14363
Schwachstelle in Mutt und NeoMutt ermöglicht Manipulation von DateienGNUPG-T4000
Schwachstelle in GnuPG ermöglicht Darstellung falscher InformationenMUTT-1-10-D
Schwachstelle in Mutt ermöglicht Denial-of-Service-Angriff
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.