2019-1287: bzip2: Zwei Schwachstellen ermöglichen die Ausführung beliebigen Programmcodes und Denial-of-Service-Angriffe

Historie:

Version 1 (2019-06-25 15:49)

Neues Advisory

Version 2 (2019-06-26 18:07)

Canonical stellt für die Distributionen Ubuntu 16.04 LTS, 18.04 LTS, 18.10 und 19.04 Sicherheitsupdates für 'bzip2' zur Verfügung.

Version 3 (2019-06-27 11:44)

Canonical veröffentlicht jetzt auch für Ubuntu 12.04 ESM und Ubuntu 14.04 ESM Sicherheitsupdates für 'bzip2', um die Schwachstellen zu beheben.

Version 4 (2019-07-15 17:49)

Für SUSE Linux Enterprise Module for Basesystem und SUSE Linux Enterprise Module for Open Buildservice Development Tools jeweils in Version 15 und 15 SP1 stehen Sicherheitsupdates für 'bzip2' bereit, um die Schwachstelle CVE-2019-12900 zu beheben.

Version 5 (2019-07-16 11:30)

Für SUSE Linux Enterprise Server 11 SP4 LTSS steht ein Sicherheitsupdate zur Behebung der Schwachstellen in 'bzip2' bereit. Aktualisierte Pakete stehen auch für SUSE Linux Enterprise Debuginfo 11 SP3 und SP4 zur Verfügung.

Version 6 (2019-07-19 11:11)

Durch das ursprüngliche Update zur Behebung der Schwachstelle CVE-2019-12900 in bzip2 für Debian Jessie (LTS) wurden Regressionen eingeführt, die beim Entpacken von Dateien auftreten. Es steht ein neues Update bereit, um diese Regressionen zu adressieren.

Version 7 (2019-07-23 17:44)

SUSE veröffentlicht für die SUSE Linux Enterprise Produkte Development Kit 12 SP5 und SP4, Server for SAP 12 SP3, SP2 und SP1, Server 12 SP5, SP4, SP3 LTSS, SP2 LTSS, SP2 BCL und SP1 LTSS, Desktop 12 SP5 und SP4 sowie SUSE OpenStack Cloud 8 und 7, Enterprise Storage 5 und 4 sowie CaaS Platform 3.0 Sicherheitsupdates für 'bzip2', um die beiden aufgeführten Schwachstellen zu beheben.

Version 8 (2019-07-30 14:41)

Durch den Patch für CVE-2019-12900 wurde eine Regression eingeführt, aufgrund der es beim Entpacken von lbzip2-Dateien zu Problemen kommen kann. Für die SUSE Linux Enterprise Produktvarianten Software Development Kit 12 SP5 und SP4, Server for SAP 12 SP3, SP2 und SP1, Server 12 SP5, SP4, SP3 LTSS, SP3 BCL, SP2 LTSS, SP2 BCL und SP1 LTSS, Desktop 12 SP5 und SP4 sowie SUSE OpenStack Cloud 7 und 8, SUSE Openstack Cloud Crowbar 8, SUSE Enterprise Storage 4 und 5, SUSE CaaS Platform 3.0 und HPE Helion Openstack 8 stehen neue Sicherheitsupdates bereit, um diese Regression zu beheben.

Version 9 (2019-08-19 13:59)

Für SUSE Enterprise Storage 5 steht ein Sicherheitsupdate für 'bzip2' bereit, um die mit dem vorhergehenden Sicherheitsupdate für CVE-2019-12900 eingeführte Regression beheben.

Betroffene Software

Datensicherung
Systemsoftware

Betroffene Plattformen

Netzwerk
Cloud
Linux

Beschreibung:

Ein entfernter, nicht authentisierter Angreifer kann zwei Schwachstellen in bzip2 ausnutzen, um beliebigen Programmcode auszuführen oder Denial-of-Service (DoS)-Angriffe gegen die Anwendung durchzuführen.

Für Debian 8 Jessie (LTS) stehen Sicherheitsupdates für 'bzip2' auf die Version 1.0.6-7+deb8u1 bereit, um die Schwachstellen zu beheben.

Schwachstellen:

CVE-2016-3189

Schwachstelle in bzip2 ermöglicht Denial-of-Service-Angriff

CVE-2019-12900

Schwachstelle in bzip2 ermöglicht Ausführung beliebigen Programmcodes

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.