2019-1034: c3p0: Zwei Schwachstellen ermöglichen u. a. die Ausführung beliebigen Programmcodes

Historie:

Version 1 (2019-05-21 12:11)

Neues Advisory

Version 2 (2022-03-11 07:41)

Für SUSE Linux Enterprise Module for SUSE Manager Server 4.1 steht ein Sicherheitsupdate für SUSE Manager Server 4.1 bereit, um die Schwachstellen in 'c3p0' zu beheben.

Version 3 (2022-04-26 09:38)

Für SUSE Linux Enterprise Module for SUSE Manager Server 4.2 und SUSE Manager Server 4.2 stehen Sicherheitsupdates für SUSE Manager Server 4.2 bereit, um die Schwachstellen in 'c3p0' und 31 weitere, nicht sicherheitsrelevante Fehler zu beheben.

Betroffene Software

Netzwerk
Systemsoftware

Betroffene Plattformen

Linux

Beschreibung:

Ein Angreifer kann eine Schwachstelle aus der Ferne ausnutzen, um beliebigen Programmcode auszuführen. Zudem kann ein Angreifer eine Schwachstelle lokal ausnutzen, um einen Denial-of-Service (DoS)-Angriff durchzuführen.

Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich.

Für Fedora 29 und 30 stehen Sicherheitsupdates in Form der Pakete 'c3p0-0.9.5.4-1.fc29' und 'c3p0-0.9.5.4-1.fc30' im Status 'testing' bereit, um die Schwachstellen zu beheben.

Schwachstellen:

CVE-2018-20433

Schwachstelle in c3p0 ermöglicht Ausführung beliebigen Programmcodes

CVE-2019-5427

Schwachstelle in c3p0 ermöglicht Denial-of-Service-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.