DFN-CERT

Advisory-Archiv

2018-2501: Polkit: Eine Schwachstelle ermöglicht das Umgehen von Sicherheitsvorkehrungen

Historie:

Version 1 (2018-12-10 14:46)
Neues Advisory
Version 2 (2019-01-02 11:22)
Für openSUSE Leap 42.3 steht ein Sicherheitsupdate für Polkit zur Behebung der Schwachstelle zur Verfügung.
Version 3 (2019-01-03 17:19)
SUSE veröffentlicht für die SUSE Linux Enterprise Module for Basesystem 15 und for Open Buildservice Development Tools 15 Sicherheitsupdates für Polkit zur Behebung der Schwachstelle.
Version 4 (2019-01-07 10:50)
SUSE stellt für die SUSE Linux Enterprise Produkte Workstation Extension, Software Development Kit, Server und Desktop in den Versionen 12 SP3 und 12 SP4, Server for SAP 12 SP2, Server 12 SP2 LTSS, Server 12 SP2 BCL, Server 12 SP1 LTSS und Server 12 LTSS sowie SUSE OpenStack Cloud 7 und SUSE Enterprise Storage 4 Sicherheitsupdates für Polkit bereit, um die Schwachstelle zu beheben.
Version 5 (2019-01-11 10:43)
openSUSE veröffentlicht für openSUSE Leap 15.0 ein Sicherheitsupdate, um die Schwachstelle in Polkit zu beheben.
Version 6 (2019-01-16 17:01)
Canonical stellt für Ubuntu 14.04 LTS, Ubuntu 16.04 LTS, Ubuntu 18.04 LTS und Ubuntu 18.10 Sicherheitsupdates für 'policykit-1' zur Verfügung.
Version 7 (2019-01-17 11:56)
Canonical stellt für Ubuntu 12.04 ESM ebenfalls ein Sicherheitsupdate für 'policykit-1' bereit, um die Schwachstelle zu beheben.
Version 8 (2019-04-29 12:09)
SUSE veröffentlicht für SUSE Linux Enterprise Server for SAP 12 SP1 ein Polkit-Sicherheitsupdate zur Behebung der Schwachstelle.
Version 9 (2019-08-07 17:56)
Für Red Hat Enterprise Linux 7 stehen Sicherheitsupdates für 'polkit' bereit. Die Updates stehen damit unter anderem für die Produktvarianten Red Hat Enterprise Linux for Scientific Computing, Desktop, Server und Workstation in Version 7 zur Verfügung.
Version 10 (2019-10-30 12:14)
Für Red Hat Enterprise Linux 7.6 Extended Update Support stehen Sicherheitsupdates bereit, mit denen die Schwachstelle in 'polkit' behoben wird.

Betroffene Software

Sicherheit
Systemsoftware

Betroffene Plattformen

Netzwerk
Cloud
Linux

Beschreibung:

Ein lokaler, authentisierter Angreifer kann die Schwachstelle ausnutzen, um Sicherheitsvorkehrungen zu umgehen und in der Folge beliebige 'systemctl'-Kommandos auszuführen und ein betroffenes System vollständig zu kompromittieren.

Derzeit existiert noch kein offizielles Release zur Behebung der Schwachstelle.

Für Debian Stretch 9.6 sowie Fedora 28 und 29 stehen Sicherheitsupdates zur Behebung der Schwachstelle zu Verfügung. Das Sicherheitsupdate für Fedora 28 in Form des Paketes 'polkit-0.115-2.fc28' befindet sich im Status 'testing', das Paket 'polkit-0.115-4.1.fc29' für Fedora 29 besitzt bereits den Status 'stable'.

Schwachstellen:

CVE-2018-19788

Schwachstelle in Polkit ermöglicht Umgehen von Sicherheitsvorkehrungen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.