2018-2459: Nullsoft Scriptable Install System (NSIS): Zwei Schwachstellen ermöglichen u. a. die vollständige Systemübernahme

Historie:

Version 1 (2018-12-03 12:01)

Neues Advisory

Betroffene Software

Entwicklung

Betroffene Plattformen

Linux

Beschreibung:

Eine Schwachstelle in Nullsoft Scriptable Install System (NSIS) ermöglicht einem entfernten, nicht authentisierten Angreifer die vollständige Kompromittierung betroffener Systeme. Eine weitere Schwachstelle ermöglicht einem lokalen, nicht authentisierten Angreifer die Ausführung beliebigen Programmcodes.

Für Debian 8 Jessie (LTS) steht ein Sicherheitsupdate bereit, mit dem die Schwachstellen behoben werden. Die Schwachstellen selbst lassen sich nur auf Windows-Systemen ausnutzen, Debian selbst ist also nicht betroffen. Durch das Update wird aber sichergestellt, dass durch NSIS auf Debian keine anfälligen Installationsanwendungen mehr erstellt werden können.

Schwachstellen:

CVE-2015-9267

Schwachstelle in Nullsoft Scriptable Install System (NSIS) ermöglicht Ausführung beliebigen Programmcodes

CVE-2015-9268

Schwachstelle in Nullsoft Scriptable Install System (NSIS) ermöglicht vollständige Systemübernahme

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.