2019-0328: mgetty: Mehrere Schwachstellen ermöglichen u. a. die Ausführung beliebigen Programmcodes

Historie:

Version 1 (2019-02-15 11:32)

Neues Advisory

Betroffene Software

Netzwerk

Betroffene Plattformen

Linux

Beschreibung:

Ein entfernter, nicht authentisierter Angreifer kann Befehle über Shell-Metazeichen in Job-IDs einfügen und diese mit den Rechten des faxrunq- oder faxq-Benutzers ausführen. Zwei weitere Schwachstellen ermöglichen das Einschleusen beliebiger Befehle einem entfernten, authentisierten und einem lokalen, authentisierten Angreifer. Eine weitere Schwachstelle ermöglicht einem entfernten, nicht authentisierten Angreifer vermutlich die Durchführung eines Denial-of-Service (DoS)-Angriffs.
 
Für Fedora 28 und 29 stehen Sicherheitsupdates in Form der Pakete 'mgetty-1.1.37-10.fc28' und 'mgetty-1.1.37-11.fc29' im Status 'testing' bereit, um die Schwachstellen zu beheben.

Schwachstellen:

CVE-2018-16741

Schwachstelle in mgetty ermöglicht Ausführung beliebigen Programmcodes

CVE-2018-16744

Schwachstelle in mgetty ermöglicht Ausführung beliebigen Programmcodes

CVE-2018-16745

Schwachstelle in mgetty ermöglicht Ausführung beliebigen Programmcodes

RED-HAT-BUG-ID-1629985

Schwachstelle in mgetty ermöglicht Denial-of-Service-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.