DFN-CERT

Advisory-Archiv

2018-1491: FUSE: Eine Schwachstelle ermöglicht das Umgehen von Sicherheitsvorkehrungen

Historie:

Version 1 (2018-07-30 18:11)
Neues Advisory
Version 2 (2018-08-16 11:47)
Für Debian Jessie (LTS) steht ein Sicherheitsupdate zur Behebung der Schwachstelle in 'fuse' zur Verfügung.
Version 3 (2018-10-18 18:25)
Für die SUSE Linux Enterprise Produkte Software Development Kit, Server und Desktop jeweils in Version 12 SP3, SUSE Container-as-a-Service (CaaS) Platform ALL und 3.0 sowie OpenStack Cloud Magnum Orchestration 7 stehen Sicherheitsupdates für 'fuse' bereit.
Version 4 (2018-10-22 12:12)
Für SUSE Linux Enterprise Module for Basesystem 15 steht ein Sicherheitsupdate für 'fuse' bereit.
Version 5 (2018-10-23 18:53)
Für openSUSE Leap 42.3 und 15.0 stehen Sicherheitsupdates für das Paket 'fuse' bereit, um die Schwachstelle zu beheben.
Version 6 (2018-10-30 18:13)
Red Hat stellt im Rahmen der Veröffentlichung von Red Hat Enterprise Linux 7.6 Sicherheitsupdates für 'fuse' bereit, mit denen die Schwachstelle behoben wird. Die Updates stehen damit unter anderem für Red Hat Enterprise Linux Server, Workstation und Desktop 7, für Red Hat Enterprise Linux for Scientific Computing 7 und Red Hat Enterprise Linux for ARM 64 7 zur Verfügung.
Version 7 (2019-02-11 11:00)
Für die SUSE Linux Enterprise Produkte Software Development Kit, Server und Debuginfo in der Version 11 SP4 stehen Sicherheitsupdates für 'fuse' zur Behebung der Schwachstelle zur Verfügung.
Version 8 (2019-03-27 12:07)
Für Fedora 28 und 29 stehen Sicherheitsupdates für 'fuse' auf Version 2.9.9 im Status 'testing' bereit, welche diese Schwachstelle beheben.
Version 9 (2020-07-27 19:09)
Für Oracle Linux 7 (x86_64) steht ein Sicherheitsupdate für 'fuse' zur Verfügung, um die Schwachstelle zu schließen.

Betroffene Software

Systemsoftware

Betroffene Plattformen

Cloud
Linux
Oracle

Beschreibung:

Ein lokaler Angreifer mit üblichen Benutzerrechten kann eine Schwachstelle in FUSE ausnutzen, um ein FUSE-Dateisystem mit der Option 'allow_other' einzubinden, dadurch andere Systembenutzer zum Zugriff auf dieses Dateisystem zu verleiten und weitere Angriffe durchzuführen.

Der Hersteller stellt libfuse 2.9.8 und 3.2.5 als Sicherheitsupdates bereit. Debian stellt für Debian Stretch (stable) ein Backport-Sicherheitsupdate zur Behebung der Schwachstelle zur Verfügung.

Schwachstellen:

CVE-2018-10906

Schwachstelle in FUSE ermöglicht Umgehen von Sicherheitsvorkehrungen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.