2019-0180: coTURN: Mehrere Schwachstellen ermöglichen u. a. das Erlangen von Administratorrechten

Historie:

Version 1 (2019-01-28 17:44)

Neues Advisory

Version 2 (2019-02-11 13:51)

Für Debian 8 Jessie (LTS) steht ein Sicherheitsupdate zur Behebung der Schwachstellen in 'coturn' bereit.

Betroffene Software

Server

Betroffene Plattformen

Linux

Beschreibung:

Eine Schwachstelle in coTURN ermöglicht einem entfernten, nicht authentisierten Angreifer die Injektion von SQL-Befehlen. Eine weitere Schwachstelle ermöglicht einem entfernten, einfach authentifizierten Angreifer mit Zugriff auf die TURN-Schnittstelle den Zugriff auf eigentlich nur lokal vorhandene Dienste. Dazu gehört auch die Administratorschnittstelle, welcher dieser Angreifer oder ein lokaler, nicht authentisierter Angreifer mit Zugriff auf die Kommandozeile des betroffenen Systems durch Ausnutzung einer weiteren Schwachstelle erreichen kann.

Für Debian Stretch (stable) steht ein Sicherheitsupdate zur Behebung der Schwachstellen in 'coturn' bereit.

Schwachstellen:

CVE-2018-4056

Schwachstelle in coTURN ermöglicht Ausführung beliebigen Programmcodes

CVE-2018-4058

Schwachstelle in coTURN ermöglicht Privilegieneskalation

CVE-2018-4059

Schwachstelle in coTURN ermöglicht Erlangen von Administratorrechten

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.