2018-1936: mgetty: Mehrere Schwachstellen ermöglichen die Ausführung beliebigen Programmcodes
Historie:
- Version 1 (2018-09-27 12:01)
- Neues Advisory
- Version 2 (2018-09-27 17:56)
- Für SUSE Linux Enterprise Module for Basesystem 15 steht ein Sicherheitsupdate für das Paket 'mgetty' bereit.
- Version 3 (2018-10-01 12:22)
- Für openSUSE Leap 15.0 steht ein Sicherheitsupdate zur Behebung der Schwachstellen in mgetty zur Verfügung.
- Version 4 (2018-10-04 11:10)
- SUSE veröffentlicht für die SUSE Linux Enterprise 12 SP3 Produkte Desktop und Server Sicherheitsupdates für mgetty, um die referenzierten Schwachstellen zu beheben.
- Version 5 (2018-10-12 15:01)
- Für openSUSE Leap 42.3 steht ein Sicherheitsupdate für 'mgetty' zur Behebung der Schwachstellen zur Verfügung.
Betroffene Software
Netzwerk
Betroffene Plattformen
Linux
Beschreibung:
Ein entfernter, nicht authentisierter Angreifer kann Befehle über Shell-Metazeichen in Job-IDs einfügen und diese mit den Rechten des faxrunq- oder faxq-Benutzers ausführen. Zwei weitere Schwachstellen ermöglichen das Einschleusen beliebiger Befehle einem entfernten, authentisierten und einem lokalen, authentisierten Angreifer. Weitere Schwachstellen erlauben vermutlich einem lokalen, nicht authentisierten Angreifer die Durchführung von Denial-of-Service (DoS)-Angriffen.
Für SUSE Linux Enterprise Server und Debuginfo jeweils in Version 11 SP4 stehen Backport-Sicherheitsupdates bereit, um die fünf Schwachstellen zu beheben.
Schwachstellen:
CVE-2018-16741
Schwachstelle in mgetty ermöglicht Ausführung beliebigen ProgrammcodesCVE-2018-16742
Schwachstelle in mgetty ermöglicht Denial-of-Service-AngriffCVE-2018-16743
Schwachstelle in mgetty ermöglicht Denial-of-Service-AngriffCVE-2018-16744
Schwachstelle in mgetty ermöglicht Ausführung beliebigen ProgrammcodesCVE-2018-16745
Schwachstelle in mgetty ermöglicht Ausführung beliebigen Programmcodes
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.