2019-0080: Systemd: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes mit den Rechten des Dienstes

Historie:

Version 1 (2019-01-11 18:19)

Neues Advisory

Version 2 (2019-01-14 11:44)

Für die stabile Distribution Debian Stretch steht ein Backport-Sicherheitsupdate für 'systemd' bereit, um diese Schwachstellen zu beheben.

Version 3 (2019-01-22 11:08)

SUSE stellt für verschiedene Produkte Sicherheitsupdates bereit, mit denen die Schwachstellen in 'systemd' behoben werden. Die Updates stehen für SUSE OpenStack Cloud 7, für die SUSE Linux Enterprise Produkte Software Development Kit, Server und Desktop in den Versionen 12 SP3 und SP4, Server for SAP 12 SP2, Server 12 SP2 BCL und SP2 LTSS, SUSE Enterprise Storage 4, SUSE CaaS Platform ALL und 3.0 sowie für OpenStack Cloud Magnum Orchestration 7 zur Verfügung. Für die SUSE Linux Enterprise Module for Open Buildservice Development Tools 15 und for Basesystem 15 stehen ebenfalls Sicherheitsupdates bereit, mit denen zusätzlich zu den hier referenzierten Schwachstellen, noch die CVE-2018-6954 behoben wird. Diese weitere Schwachstelle ermöglicht einem lokalen, einfach authentisierten Angreifer die Eskalation seiner Privilegien.

Version 4 (2019-01-23 11:42)

Debian veröffentlicht für Debian 8 Jessie (LTS) ein Sicherheitsupdate für systemd, mit dem die Schwachstellen CVE-2018-16864 und CVE-2018-16865 behoben werden. Die Schwachstellen in der journald-Komponente können laut dem Sicherheitshinweis von Debian für die Ausführung beliebigen Programmcodes oder das Bewirken eines Absturzes der Anwendung ausgenutzt werden.

Betroffene Software

Systemsoftware

Betroffene Plattformen

Netzwerk
Cloud
Linux

Beschreibung:

Mehrere Schwachstellen in systemd ermöglichen einem lokalen, einfach authentisierten Angreifer das Ausführen beliebigen Programmcodes mit den Rechten des Dienstes 'journald' sowie das Ausspähen von Informationen.

Canonical stellt Sicherheitsupdates für Ubuntu 18.10, Ubuntu 18.04 LTS und Ubuntu 16.04 LTS für systemd zur Verfügung.

Für Fedora 29 steht das Paket 'systemd-239-8.gite339eae.fc29' und für Fedora 28 das Paket 'systemd-238-11.gita76ee90.fc28' im Status 'pending' als Sicherheitsupdate zur Behebung der Schwachstellen bereit.

Schwachstellen:

CVE-2018-16864

Schwachstelle in systemd ermöglicht Ausführung beliebigen Programmcodes mit den Rechten des Dienstes

CVE-2018-16865

Schwachstelle in systemd ermöglicht Ausführung beliebigen Programmcodes mit den Rechten des Dienstes

CVE-2018-16866

Schwachstelle in systemd ermöglicht Ausspähen von Informationen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.