2018-2372: Salt: Zwei Schwachstellen ermöglichen u. a. die Ausführung beliebigen Programmcodes

Historie:

Version 1 (2018-11-20 11:50)

Neues Advisory

Version 2 (2018-11-20 16:59)

Für die SUSE Linux Enterprise Module für Server Applications und Basesystem 15 stehen Sicherheitsupdates zur Behebung der beiden Schwachstellen in 'salt' bereit.

Version 3 (2018-11-20 18:02)

Für SUSE Manager Server 3.2 steht ein Sicherheitsupdate für 'py26-compat-salt' zur Verfügung.

Version 4 (2018-11-23 11:21)

Für SUSE Manager Tools 12, SUSE Manager Server und Proxy in Version 3.0, 3.1 und 3.2, SUSE Linux Enterprise Module for Advanced Systems Management 12, SUSE Container-as-a-Service Platform 3.0 und OpenStack Cloud Magnum Orchestration 7 stehen Sicherheitsupdates zur Behebung der Schwachstellen bereit.

Version 5 (2018-12-18 16:44)

Für openSUSE Leap 15.0 steht ein Sicherheitsupdate zur Behebung der Schwachstellen in 'salt' bereit.

Version 6 (2018-12-20 11:47)

Für openSUSE Leap 42.3 steht ein Sicherheitsupdate zur Behebung der Schwachstellen in 'salt' bereit.

Version 7 (2019-04-05 16:31)

Für SUSE Manager Tools 12 BETA und SUSE Manager Tools 15 BETA steht ein Sicherheitsupdate zur Behebung der Schwachstellen in 'salt' bereit.

Version 8 (2020-07-29 11:33)

Für Debian 9 Stretch (LTS) steht ein Sicherheitsupdate für 'salt' in Form der Version 2016.11.2+ds-1+deb9u5 bereit, um die Schwachstellen zu beheben.

Betroffene Software

Netzwerk

Betroffene Plattformen

Cloud
Linux

Beschreibung:

Eine Schwachstelle ermöglicht einem entfernten Angreifer beliebigen Programmcode zur Ausführung zu bringen. Eine weitere Schwachstelle kann von einem entfernten Angreifer mit ausreichend Privilegien, um '/run'- und '/events'-Anfragen durch Salt auszuführen, ausgenutzt werden, um das Vorhandensein bestimmter Dateien auf einem System zu ermitteln.

Für SUSE Linux Enterprise Server 11 SP3 und SP4 Client-Tools sowie SUSE Manager Server 3.1 stehen Sicherheitsupdates für 'salt' bereit, mit denen Salt auf Version 2016.11.10 aktualisiert wird.

Schwachstellen:

CVE-2018-15750

Schwachstelle in Salt ermöglicht Ausspähen von Informationen

CVE-2018-15751

Schwachstelle in Salt ermöglicht Ausführung beliebigen Programmcodes

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.