2018-2231: cURL, libcurl: Mehrere Schwachstellen ermöglichen u. a. die Ausführung beliebigen Programmcodes
Historie:
- Version 1 (2018-11-01 15:54)
- Neues Advisory
- Version 2 (2018-11-05 11:06)
- Für Fedora 28 und 29 stehen Sicherheitsupdates zur Behebung der Schwachstellen in 'curl' im Status 'testing' bereit. Für Ubuntu 12.04 LTS (ESM) und SUSE Studio Onsite 1.3 stehen Updates bereit, mit denen CVE-2018-16842 behoben wird. Die Schwachstellen CVE-2018-16839 und CVE-2018-16842 werden in einem Sicherheitsupdate für Debian Stretch (stable) adressiert und die Schwachstellen CVE-2018-16840 und CVE-2018-16842 für SUSE Linux Enterprise Desktop, Server und Software Development Kit 12 SP3, für SUSE Container-as-a-Service Platform ALL und 3.0 sowie für OpenStack Cloud Magnum Orchestration 7 behoben.
- Version 3 (2018-11-06 11:30)
- Für SUSE Linux Enterprise Module for Open Buildservice Development Tools und Module for Basesystem 15 stehen Sicherheitsupdates für 'curl' bereit, um die Schwachstellen zu beheben.
- Version 4 (2018-11-09 11:22)
- Für die SUSE Linux Enterprise Produkte Software Development Kit, Server und Debuginfo 11 SP4 sowie für SUSE Linux Enterprise Server 11 SECURITY stehen Sicherheitsupdates für 'curl' bereit, mit denen die Schwachstellen behoben werden. Die genannten Distributionen sind nicht von CVE-2018-16839 betroffen, da die Voraussetzungen (32 Bit-System mit der Möglichkeit, Benutzernamen größer 2 GB zu verwenden) hier nicht gegeben sind.
- Version 5 (2018-11-12 11:28)
- Für openSUSE Leap 15.0 und 42.3 stehen Sicherheitsupdates für 'curl' bereit. Für das Sicherheitsupdate für openSUSE Leap 42.3 wird die Schwachstelle CVE-2018-16839 nicht aufgeführt.
Betroffene Software
Office
Systemsoftware
Betroffene Plattformen
Cloud
Apple
Linux
Microsoft
Beschreibung:
Mehrere Schwachstellen in cURL ermöglichen einem entfernten, nicht authentisierten Angreifer möglicherweise das Ausführen beliebigen Programmcodes, die Durchführung verschiedener Denial-of-Service (DoS)-Angriffe und möglicherweise das Ausspähen von Informationen.
Der Hersteller stellt die cURL Version 7.62.0 zur Behebung der Schwachstellen und weiterer Fehler zur Verfügung.
Canonical stellt für die Distributionen Ubuntu 18.10, Ubuntu 18.04 LTS, Ubuntu 16.04 LTS und Ubuntu 14.04 LTS Sicherheitsupdates für cURL bereit.
Schwachstellen:
CVE-2018-16839
Schwachstelle in libcurl ermöglicht u. a. Denial-of-Service-AngriffCVE-2018-16840
Schwachstelle in libcurl ermöglicht u. a. Denial-of-Service-AngriffCVE-2018-16842
Schwachstelle in cURL ermöglicht Ausspähen von Informationen und Denial-of-Service-Angriff
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.