2019-0299: Libu2f-host: Eine Schwachstelle ermöglicht das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2019-02-12 13:14)

Neues Advisory

Version 2 (2019-02-18 18:06)

Für openSUSE Leap 42.3 steht ein Sicherheitsupdate für 'libu2f-host' bereit, um diese Schwachstelle zu beheben.

Version 3 (2019-05-27 15:01)

Für SUSE Linux Enterprise Module for Open Buildservice Development Tools 15 und SUSE Linux Enterprise Module for Basesystem 15 steht ein Sicherheitsupdate zur Behebung der Schwachstelle in 'libu2f-host' bereit.

Version 4 (2019-05-31 11:55)

Für openSUSE Leap 15.1 und openSUSE Leap 15.0 stehen Sicherheitsupdates für 'libu2f-host' zur Behebung der Schwachstelle zur Verfügung.

Betroffene Software

Sicherheit

Betroffene Plattformen

Linux

Beschreibung:

Ein lokaler, nicht authentisierter Angreifer mit physikalischem Zugriff auf einen Rechner, auf dem PAM U2F oder eine Libu2f-host nutzende Anwendung installiert ist, kann die Schwachstelle mit Hilfe eines manipulierten, sich als Security Key ausgebenden USB-Gerätes ausnutzen, um potentiell beliebigen Programmcode zur Ausführung zu bringen.

Debian stellt für die stabile Distribution Stretch ein Sicherheitsupdate für Libu2f-host zur Verfügung, um diese Schwachstelle zu beheben.

Schwachstellen:

CVE-2018-20340

Schwachstelle in Libu2f-host ermöglicht Ausführen beliebigen Programmcodes

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.