2018-1559: libykpiv: Zwei Schwachstellen ermöglichen u. a. die Ausführung beliebigen Programmcodes

Historie:

Version 1 (2018-08-10 11:31)

Neues Advisory

Version 2 (2018-08-22 19:27)

Zwischenzeitlich wurden detaillierte Informationen zu den beiden Schwachstellen veröffentlicht. Für Fedora EPEL 7 steht ein Sicherheitsupdate in Form des Paketes 'yubico-piv-tool-1.6.1-1.el7' zur Verfügung. Die beiden Sicherheitsupdates für Fedora 27 und 28 befinden sich mittlerweile im Status 'stable'.

Version 3 (2018-09-05 18:05)

Für openSUSE Leap 42.3 steht ein Sicherheitsupdate für 'yubico-piv-tool' bereit, mit dem die Schwachstellen behoben werden.

Version 4 (2019-05-02 11:50)

Für SUSE Linux Enterprise Module for Basesystem 15 steht ein Sicherheitsupdate für 'yubico-piv-tool' bereit, mit dem die Schwachstellen behoben werden.

Version 5 (2019-05-08 18:31)

Zur Behebung der aufgeführten Schwachstellen steht ein Sicherheitsupdate für 'yubico-piv-tool' für die Distribution openSUSE Leap 15.0 bereit.

Version 6 (2020-02-11 18:56)

Canonical stellt für Ubuntu 18.04 LTS Sicherheitsupdates für das Yubico PIV Tool bereit, um die Schwachstellen zu beheben.

Betroffene Software

Sicherheit

Betroffene Plattformen

Linux

Beschreibung:

Ein lokaler, nicht authentisierter Angreifer kann mit einem speziell präparierten USB-Gerät, welches sich als YubiKey ausgibt, beliebigen Programmcode mit den Rechten des Benutzers auf dem betroffenen Gerät ausführen oder Informationen ausspähen.

Yubico stellt 'libykpiv' in der Version 1.6.0 als Sicherheitsupdate bereit, um die Schwachstellen zu schließen. Weiterhin empfiehlt Yubico USB-Geräte unbekannter Herkunft mit Vorsicht zu verwenden.

Für Fedora 27 und 28 stehen Sicherheitsupdates in Form von 'yubico-piv-tool-1.6.0-1'-Paketen zur Behebung der Schwachstellen im Status 'testing' bereit.

Schwachstellen:

CVE-2018-14779

Schwachstelle in libykpiv ermöglicht Ausführen beliebigen Programmcodes

CVE-2018-14780

Schwachstelle in libykpiv ermöglicht Ausspähen von Informationen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.