2019-1358: Libu2f-host, pam_u2f: Mehrere Schwachstellen ermöglichen u. a. das Ausspähen von Informationen
Historie:
- Version 1 (2019-07-05 12:54)
- Neues Advisory
- Version 2 (2019-07-19 16:52)
- Für openSUSE Leap 15.1 stehen Sicherheitsupdates für 'libu2f-host' und 'pam_u2f' auf die Version 1.0.8 zur Verfügung. Die Schwachstelle CVE-2018-20340 wird in der Sicherheitsmeldung nicht referenziert.
- Version 3 (2019-07-22 11:58)
- Die Bibliotheken 'libu2f-host' und 'pam_u2f' werden für openSUSE Leap 15.0 auf die Version 1.0.8 aktualisiert, um die Schwachstellen CVE-2019-12209, CVE-2019-12210 und CVE-2019-9578 zu beheben.
Betroffene Software
Sicherheit
Betroffene Plattformen
Linux
Beschreibung:
Zwei Schwachstelen in Libu2f-host ermöglichen einem lokalen, nicht authentisierten Angreifer die Ausführung beliebigen Programmcodes und das Ausspähen von Informationen. Zwei weitere Schwachstellen in pam_u2f ermöglichen einem entfernten, nicht authentifizierten Angreifer das Ausspähen von Informationen und einem entfernten, einfach authentifizierten Angreifer zusätzlich die Manipulation von Dateien.
Für SUSE Linux Enterprise Desktop und Server in Version 12 SP4 sowie für die SUSE Linux Enterprise Module für Open Buildservice Development Tools und Basesystem in den Versionen 15 und 15 SP1 stehen Sicherheitsupdates für 'libu2f-host' und 'pam_u2f' bereit, mit denen die Schwachstellen behoben werden. Die Software wird damit auf Version 1.0.8 aktualisiert. Die Schwachstelle CVE-2018-20340 betrifft nur SUSE Linux Enterprise Desktop und Server 12 SP4.
Schwachstellen:
CVE-2018-20340
Schwachstelle in Libu2f-host ermöglicht Ausführen beliebigen ProgrammcodesCVE-2019-12209
Schwachstelle in Yubico pam-u2f ermöglicht Ausspähen von InformationenCVE-2019-12210
Schwachstelle in Yubico pam-u2f ermöglicht u. a. Ausspähen von InformationenCVE-2019-9578
Schwachstelle in Libu2f-host ermöglicht Denial-of-Service-Angriff
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.