2018-1479: BusyBox: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2018-07-27 18:07): Neues Advisory
Version 2 (2018-08-02 11:38): Debian informiert darüber, dass mittels des Sicherheitsupdates, über das mit der Meldung DLA-1445-1 informiert wurde, eine Regression aufgrund der unvollständigen Behebung der Schwachstelle CVE-2015-9261 eingeführt wurde. Aufgrund der Regression ist die Dekomprimierung von gzip-Archiven, die eine bestimmte Größe überschreiten, nicht mehr möglich. Das jetzt veröffentlichte BusyBox-Paket adressiert diese Regression.
Version 3 (2018-08-03 11:08): Debian informiert darüber, dass die durch das Sicherheitsupdate zur Behebung von CVE-2011-5325 in Bezug auf CPIO-Archivdateien implementierten Einschränkungen zu strikt waren. Es steht ein neues Update zur Verfügung, mit dem das alte Verhalten wieder eingeführt wird.

Betroffene Software

Systemsoftware

Betroffene Plattformen

Linux

Beschreibung:

Mehrere Schwachstellen in verschiedenen BusyBox-Komponenten ermöglichen einem entfernten, nicht authentisierten Angreifer beliebigen Programmcode zur Ausführung zu bringen und Denial-of-Service-Angriffe durchzuführen. Ein lokaler, nicht authentisierter Angreifer kann Administratorrechte erlangen. Ein entfernter, einfach authentisierter Angreifer kann Sicherheitsvorkehrungen umgehen.

Debian veröffentlicht für die stabile Distribution Jessie die BusyBox-Version 1.22.0-9+deb8u2.

Schwachstellen:

CVE-2011-5325

Schwachstelle in BusyBox ermöglicht Manipulation von Dateien

CVE-2013-1813

Schwachstelle in BusyBox ermöglicht Erlangen von Administratorrechten

CVE-2014-4607

Schwachstelle in der Datenkompressionsbibliothek LZO ermöglicht Ausführen beliebigen Programmcodes

CVE-2014-9645

Schwachstelle in BusyBox ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2015-9261

Schwachstelle in BusyBox ermöglicht Denial-of-Service-Angriff

CVE-2016-2147

Schwachstelle im DHCP-Client ermöglicht Denial-of-Service-Angriff

CVE-2016-2148