DFN-CERT

Advisory-Archiv

2020-0282: ppp (Point-to-Point Protocol): Eine Schwachstelle ermöglicht Ausführen beliebigen Programmcodes

Historie:

Version 1 (2020-02-10 14:58)
Neues Advisory
Version 2 (2020-02-20 19:24)
Canonical stellt für Ubuntu 19.10, Ubuntu 18.04 LTS und Ubuntu 16.04 LTS Sicherheitsupdates für 'ppp' zur Verfügung, um die Schwachstelle zu beheben.
Version 3 (2020-02-24 10:09)
Für Fedora 30 und 31 stehen Sicherheitsupdates in Form von 'ppp-2.4.7-34'-Paketen im Status 'testing' bereit, um die Schwachstelle zu beheben.
Version 4 (2020-02-24 10:21)
Debian stellt für Debian 9 Stretch (oldstable) und Debian 10 Buster (stable) Sicherheitsupdates zur Behebung der Schwachstelle in 'ppp' bereit.
Version 5 (2020-02-26 10:34)
Für SUSE Linux Enterprise Server 11 SP4 LTSS sowie SUSE Linux Enterprise Debuginfo 11 SP3 und SP4 stehen Sicherheitsupdates bereit, mit denen die Schwachstelle adressiert wird.
Version 6 (2020-02-27 10:41)
Für die SUSE Linux Enterprise Module for Open Buildservice Development Tools sowie for Desktop Applications jeweils in Version 15 und 15 SP1, SUSE Enterprise Storage 5, SUSE OpenStack Cloud 7, 8 und Crowbar 8, für die SUSE Linux Enterprise Produkte Desktop 12 SP4, Software Development Kit 12 SP4 und SP5, Server 12 SP5, SP4, SP3 LTSS, SP3 BCL, SP2 LTSS, SP2 BCL und SP1 LTSS sowie Server for SAP 12 SP3, SP2 und SP1 stehen Sicherheitsupdates zur Behebung der Schwachstelle bereit.
Version 7 (2020-02-28 10:33)
Red Hat veröffentlicht für Red Hat Enterprise Linux und CodeReady Linux Builder in Version 8 und 8.1 EUS Sicherheitsupdates für ppp zur Behebung der Schwachstelle. Entsprechende Sicherheitsupdates stehen auch für die Red Hat Enterprise Linux Produkte Server, Desktop, Workstation und for Scientific Computing in Version 6 und 7, Linux for x86_64 EUS 7.7, EUS Compute Node 7.7 sowie Server AUS und TUS 7.7 bereit. Korrespondierend stellt Oracle Sicherheitsupdates für Oracle Linux (aarch64, x86_64) 7 und 8 sowie Oracle Linux 6 (i386, x86_64) zur Verfügung.
Version 8 (2020-03-03 10:55)
Für openSUSE Leap 15.1 sowie Ubuntu 14.04 ESM und Ubuntu 12.04 ESM stehen Sicherheitsupdates zur Behebung der Schwachstelle in 'ppp' bereit.

Betroffene Software

Systemsoftware

Betroffene Plattformen

Netzwerk
Cloud
Linux
Oracle

Beschreibung:

Ein entfernter Angreifer kann eine Schwachstelle in PPPD durch Eingabe sehr langer Namen zur Ausführung beliebigen Programmcodes ausnutzen.

Für Debian 8 Jessie (LTS) steht in Form des Paketes '2.4.6-3.1+deb8u1' ein Update zur Behebung der Schwachstelle bereit.

Schwachstellen:

CVE-2020-8597

Schwachstelle in ppp ermöglicht Ausführen beliebigen Programmcodes

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.