DFN-CERT

Advisory-Archiv

2019-0696: GNU Wget: Eine Schwachstelle ermöglicht das Ausführen beliebigen Programmcodes und einen Denial-of-Service-Angriff

Historie:

Version 1 (2019-04-08 14:41)
Neues Advisory
Version 2 (2019-04-17 11:36)
SUSE stellt für die SUSE Linux Enterprise Produkte Server for SAP 12 SP1 und 12 SP2, Server 12 LTSS, 12 SP1 LTSS, 12 SP2 BCL, 12 SP2 LTSS, 12 SP3 und 12 SP4 sowie Desktop 12 SP3 und 12 SP4 sowie SUSE Enterprise Storage 4 und SUSE OpenStack Cloud 7 Sicherheitsupdates für 'wget' zur Behebung der Schwachstelle bereit.
Version 3 (2019-04-23 11:46)
Debian veröffentlicht für Debian 8 Jessie (LTS) ein Sicherheitsupdate für das Paket 'wget' zur Behebung der Schwachstelle. Für openSUSE Leap 15.0 steht ebenfalls ein 'wget'-Sicherheitsupdate bereit.
Version 4 (2019-04-29 11:51)
Für die Distribution openSUSE Leap 42.3 steht ein Sicherheitsupdate für 'wget' zur Verfügung, um die Schwachstelle zu beheben.
Version 5 (2019-05-07 15:34)
Für Red Hat Enterprise Linux 8 stehen Sicherheitsupdates für 'wget' bereit. Die Updates stehen unter anderem für Red Hat Enterprise Linux for ARM 64 8 und Red Hat Enterprise Linux for x86_64 8 zur Verfügung.
Version 6 (2019-05-15 11:30)
Red Hat veröffentlicht für die Red Hat Enterprise Linux Produkte Server, for ARM, Workstation, Desktop und for Scientific Computing in Version 7, Server AUS, EUS, TUS und EUS HPC Node in Version 7.6 sowie Virtualization Host 4 Sicherheitsupdates für Wget, um die Schwachstelle zu beheben.
Version 7 (2019-05-16 11:07)
Oracle stellt für Oracle Linux 7 (aarch64, x86_64) ein Sicherheitsupdate für Wget zur Behebung der Schwachstelle zur Verfügung.
Version 8 (2019-08-05 14:47)
Für Oracle Linux 8 (aarch64, x86_64) stehen Sicherheitsupdates für 'wget' zur Verfügung, um die Schwachstelle zu beheben.
Version 9 (2019-10-08 16:34)
Für Red Hat Enterprise Linux 7.5 Extended Update Support in den Produktvarianten Red Hat Enterprise Linux EUS Compute Node 7.5 sowie Server EUS 7.5 stehen Sicherheitsupdates für 'wget' zur Behebung dieser Schwachstelle bereit.
Version 10 (2019-10-23 16:56)
Für Red Hat Enterprise Linux Server 7.4 AUS und 7.4 TUS stehen Sicherheitsupdates für 'python' bereit, um die Schwachstelle zu schließen.

Betroffene Software

Office
Systemsoftware

Betroffene Plattformen

Netzwerk
Cloud
Linux
Oracle
Virtualisierung

Beschreibung:

Ein entfernter, nicht authentisierter Angreifer kann einen Denial-of-Service (DoS)-Angriff durchführen oder möglicherweise beliebigen Programmcode zur Ausführung bringen, wenn er einen Benutzer von WGet dazu verleiten kann, Daten rekursiv von einem nicht vertrauenswürdigen Server zu laden.

Die Version Gnu Wget 1.20.3 steht als Sicherheitsupdate bereit.

Debian veröffentlicht für die stabile Distribution Stretch (9.8) ein Backport-Sicherheitsupdate für Wget zur Behebung des Schwachstelle.

Für Fedora 28 und Fedora 29 stehen Sicherheitsupdate in Form von 'wget-1.20.3-1'-Paketen zur Verfügung. Das Sicherheitsupdate für Fedora 28 befindet sich im Status 'testing', während das Sicherheitsupdate für Fedora 29 bereits den Status 'stable' besitzt.

Schwachstellen:

CVE-2019-5953

Schwachstelle in GNU Wget ermöglicht u. a. Ausführen beliebigen Programmcodes

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.