DFN-CERT

Advisory-Archiv

2019-2188: nfs-utils: Eine Schwachstelle ermöglicht die Manipulation von Dateien

Historie:

Version 1 (2019-10-21 13:28)
Neues Advisory
Version 2 (2019-10-25 10:43)
Für SUSE Linux Enterprise Module for Basesystem 15, SUSE Linux Enterprise Server 12 SP1 LTSS und SUSE Linux Enterprise Server for SAP Applications 12 SP1 stehen Sicherheitsupdates zur Behebung der Schwachstelle bereit. SUSE stuft die Schwachstelle als 'kritisch' ein und gibt an, dass die Schwachstelle aus der Ferne ohne Authentifizierung ausgenutzt werden kann.
Version 3 (2019-10-28 10:59)
Für SUSE Linux Enterprise Module for Basesystem 15 SP1, SUSE OpenStack Cloud Crowbar 8, SUSE OpenStack Cloud 7 und 8, SUSE Linux Enterprise Server for SAP 12 SP2 und SP3 sowie Server 12 SP5, SP4, SP3 LTSS, SP3 BCL, SP2 LTSS, SP2 BCL, SUSE Linux Enterprise Desktop 12 SP4 und SP5, SUSE Enterprise Storage 4 und 5 sowie SUSE CaaS Platform 3.0 stehen Sicherheitsupdates zur Behebung der Schwachstelle bereit.
Version 4 (2019-10-30 15:08)
openSUSE veröffentlicht für die Distribution openSUSE Leap 15.0 ein Sicherheitsupdate für nfs-utils, um die referenzierte Schwachstelle zu beheben.
Version 5 (2019-11-06 09:49)
Für openSUSE Leap 15.1 steht ein Sicherheitsupdate für 'nfs-utils' zur Behebung der Schwachstelle zur Verfügung.
Version 6 (2020-06-22 19:47)
Canonical stellt für die Distributionen Ubuntu 16.04 LTS, 18.04 LTS, 19.10 und 20.04 LTS Sicherheitsupdates für nfs-utils zur Behebung der Schwachstelle bereit. Canonical beschreibt die Auswirkung einer erfolgreichen Ausnutzung der Schwachstelle als Privilegieneskalation.

Betroffene Software

Systemsoftware

Betroffene Plattformen

Netzwerk
Cloud
Linux

Beschreibung:

Ein lokaler, einfach authentisierter Angreifer, der den Hintergrunddienst 'statd' kompromittieren kann, kann eine Schwachstelle in nfs-utils ausnutzen, um mit Hilfe von symbolischen Dateiverweisen (Symlinks) beliebige Systemdateien durch einen Prozess, der 'root'-Rechte besitzt, überschreiben oder erstellen zu lassen.

Für Debian Jessie (LTS) steht ein Sicherheitsupdate zur Behebung der Schwachstelle bereit.

Schwachstellen:

CVE-2019-3689

Schwachstelle in nfs-utils ermöglicht Manipulation von Dateien

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.