2019-0415: OpenSSH: Zwei Schwachstellen ermöglichen u. a. die Manipulation von Dateien

Historie:

Version 1 (2019-02-27 11:44)

Neues Advisory

Version 2 (2019-03-08 17:12)

Für openSUSE Leap 15.0 steht ein Sicherheitsupdate für 'openssh' bereit, welches die Schwachstellen CVE-2019-6109 und CVE-2019-61119 behebt.

Version 3 (2019-04-12 11:13)

SUSE veröffentlicht für SUSE Linux Enterprise Debuginfo 11 SP3 ein Sicherheitsupdate für OpenSSH mit dem die beiden Schwachstellen und vier, nicht sicherheitsrelevante Fehler adressiert werden.

Version 4 (2019-04-15 12:44)

Für die SUSE Linux Enterprise Server Produktvarianten 12 LTSS, 12 SP1 LTSS sowie for SAP 12 SP1 stehen Sicherheitsupdates für OpenSSH bereit. Die Sicherheitsupdates beheben die beiden referenzierten Schwachstellen sowie drei nicht sicherheitsrelevante Fehler.

Version 5 (2019-04-25 18:51)

Für SUSE Linux Enterprise Server 11 SP4 LTSS und SUSE Linux Enterprise Debuginfo 11 SP4 stehen Sicherheitsupdates von 'openssh' bereit.

Version 6 (2019-04-30 14:05)

Für die Distribution Fedora 30 steht ein Sicherheitsupdate in Form des Paketes 'openssh-8.0p1-1.fc30' im Status 'testing' zur Verfügung, um die beiden Schwachstellen zu beheben. Fedora 30 wird voraussichtlich im Laufe des Tages offiziell veröffentlicht.

Version 7 (2019-06-18 11:45)

SUSE stellt OpenSSH-Sicherheitsupdates, die die beiden referenzierten Schwachstellen und vier nicht sicherheitsrelevante Fehler beheben, für die SUSE Linux Enterprise Produkte Server for SAP 12 SP2, Server 12 SP4, 12 SP3, 12 SP2 LTSS, 12 SP2 BCL,Desktop 12 SP4 und 12 SP3 sowie SUSE OpenStack Cloud 7, Enterprise Storage 4, CaaS Platform ALL und 3.0 sowie OpenStack Cloud Magnum Orchestration 7 zur Verfügung.

Version 8 (2019-06-24 19:01)

Für openSUSE Leap 42.3 steht ein Sicherheitsupdate für 'openssh' bereit, welches die beiden Schwachstellen und vier weitere nicht sicherheitsrelevante Fehler behebt.

Betroffene Software

Sicherheit

Betroffene Plattformen

Netzwerk
Cloud
Linux

Beschreibung:

Ein entfernter, nicht authentisierter Angreifer kann zwei Schwachstellen im SCP-Client von OpenSSH ausnutzen, um Dateien zu manipulieren und falsche Informationen anzuzeigen (Spoofing).

Für die SUSE Linux Enterprise Produkte Module for Server Applications, Module for Open Buildservice Development Tools, Module for Desktop Applications und Module for Basesystem jeweils in Version 15 stehen Sicherheitsupdates für 'openssh' bereit.

Schwachstellen:

CVE-2019-6109

Schwachstelle in OpenSSH ermöglicht Darstellen falscher Informationen

CVE-2019-6111

Schwachstelle in OpenSSH ermöglicht Manipulation von Dateien

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.