2019-0226: etcd: Eine Schwachstelle ermöglicht das Umgehen von Sicherheitsvorkehrungen

Historie:

Version 1 (2019-02-01 17:36)

Neues Advisory

Version 2 (2019-02-12 14:37)

Für SUSE CaaS Platform 3.0 steht ein Sicherheitsupdate auf die etcd Version 3.3.11 zur Verfügung. Zusätzlich zur Schwachstelle CVE-2018-16886 benennt SUSE die Schwachstelle CVE-2018-16873 in Google Go, die ein entfernter, nicht authentisierter Angreifer zur Ausführung beliebigen Programmcodes mit erhöhten Rechten ausnutzen kann, als behoben. Die etcd Version 3.3.11 wurde mit der Go Version 1.10.7 kompiliert, die Schwachstelle CVE-2018-16873 ist ab Version 1.10.6 behoben.

Version 3 (2019-06-05 12:16)

Für Red Hat Enterprise Linux 7 Extras stehen Sicherheitsupdates für das Paket 'etcd' bereit, um die Schwachstelle CVE-2018-16886 zu beheben. Die Updates stehen damit unter anderem für die Red Hat Enterprise Linux Produkte Server 7 und for ARM 7 bereit.

Betroffene Software

Systemsoftware

Betroffene Plattformen

Cloud
Linux

Beschreibung:

Ein entfernter, einfach authentisierter Angreifer kann eine Schwachstelle in etcd ausnutzen, um in verteilten Systemen die Autorisationsprüfungen basierend auf Rollen zu umgehen und somit seine Privilegien zu erweitern.

Für Red Hat Enterprise Linux 7 Extras stehen Sicherheitsupdates für etcd auf Version 3.3.11 bereit, um die Schwachstelle zu beheben. Die Sicherheitsupdates stehen damit unter anderem für Red Hat Enterprise Linux Server 7 und Red Hat Enterprise Linux for ARM 7 zur Verfügung.

Schwachstellen:

CVE-2018-16873

Schwachstelle in Google Go (golang) ermöglicht Ausführung beliebigen Programmcodes

CVE-2018-16886

Schwachstelle in etcd ermöglicht Umgehen von Sicherheitsvorkehrungen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.