2019-1284: web2py: Mehrere Schwachstellen ermöglichen u. a. die Ausführung beliebigen Programmcodes

Historie:

Version 1 (2019-06-24 15:16)

Neues Advisory

Betroffene Software

Entwicklung

Betroffene Plattformen

Linux

Beschreibung:

Ein entfernter, nicht authentisierter Angreifer kann mehrere Schwachstellen in web2py ausnutzen, um sensitive Informationen auszuspähen, welche beispielsweise verwendet werden können, um administrativen Zugriff zu erlangen oder unter Ausnutzung weiterer Schwachstellen beliebigen Programmcode auszuführen. Letzteres ist insbesondere durch kombinierte Ausnutzung der Schwachstellen CVE-2016-3953, CVE-2016-3954 und CVE-2016-3957 möglich.

Canonical stellt für Ubuntu 16.04 LTS ein Backport-Sicherheitsupdate für 'web2py' bereit, um die Schwachstellen zu beheben.

Schwachstellen:

CVE-2016-10321

Schwachstelle in web2py ermöglicht Ausspähen von Informationen

CVE-2016-3952

Schwachstelle in web2py ermöglicht Ausspähen von Informationen

CVE-2016-3953

Schwachstelle in web2py ermöglicht Ausführung beliebigen Programmcodes

CVE-2016-3954

Schwachstelle in web2py ermöglicht Ausspähen von Informationen

CVE-2016-3957

Schwachstelle in web2py ermöglicht Ausführung beliebigen Programmcodes

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.