DFN-CERT

Advisory-Archiv

2020-0323: Buildah, Podman, Skopeo: Eine Schwachstelle ermöglicht das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2020-02-17 17:34)
Neues Advisory
Version 2 (2020-03-02 11:09)
Für Fedora 30 steht mit dem Paket 'podman-1.8.0-3.fc30' im Status 'testing' ein neues Sicherheitsupdate bereit, welches das Update FEDORA-2020-c68458c879 (Fedora 30, podman-1.8.0-2.fc30) ersetzt, das in den Status 'obsolete' versetzt wurde (Referenz hier entfernt).
Version 3 (2020-03-03 10:07)
Für Fedora 30 steht mit dem Paket 'podman-1.8.0-4.fc30' im Status 'testing' erneut ein neues Sicherheitsupdate bereit. Das bisherige Update FEDORA-2020-89326b1795 wurde in den Status 'obsolete' versetzt (Referenz hier entfernt).
Version 4 (2020-04-01 11:14)
Für Red Hat Enterprise Linux 7 Extras stehen Sicherheitsupdates für das Paket 'buildah' bereit, um die Schwachstelle zu beheben. Die Updates stehen damit unter anderem für die Red Hat Enterprise Linux Produkte Server 7 und Workstation 7 bereit.
Version 5 (2020-04-01 11:46)
Für Red Hat Enterprise Linux 7 Extras stehen weitere Sicherheitsupdates, diesmal für 'skopeo' zur Verfügung.
Version 6 (2020-05-05 09:44)
Für Red Hat OpenShift Container Platform 4.4 für Red Hat Enterprise Linux 7 und 8 stehen Sicherheitsupdates zur Behebung der Schwachstelle in 'ose-cluster-policy-controller-container' zur Verfügung. Red Hat OpenShift Container Platform wird damit auf Version 4.4.3 aktualisiert.
Version 7 (2020-05-14 11:15)
Für Red Hat OpenShift Container Platform 4.2 für Red Hat Enterprise Linux 8 stehen Sicherheitsupdates zur Behebung der Schwachstelle in 'openshift-clients' zur Verfügung. Red Hat OpenShift Container Platform wird damit auf Version 4.2.33 aktualisiert.
Version 8 (2020-07-28 13:49)
Für die in Kürze anstehende Aktualisierung der Red Hat OpenShift Container Platform 4.2 auf Version 4.2.z für Red Hat Enterprise Linux 7 und 8 steht ein Sicherheitsupdate von 'ose-openshift-controller-manager-container' bereit, um die Schwachstelle zu schließen.

Betroffene Software

Entwicklung
Netzwerk
Virtualisierung

Betroffene Plattformen

Linux

Beschreibung:

Es existiert eine Schwachstelle im proglottis Go-Wrapper, wie verwendet in Skopeo und Podman, die es einem entfernten Angreifer ermöglicht einen Denial-of-Service (DoS)-Angriff durchzuführen oder möglicherweise beliebigen Programmcode zur Ausführung zu bringen. Ein erfolgreicher Angriff erfordert die Interaktion eines Benutzers.

Für Fedora 30 und 31 stehen die Pakete 'podman-1.8.0-2.fc30', 'skopeo-0.1.41-1.fc30' und 'skopeo-0.1.41-1.fc31' im Status 'testing' als Sicherheitsupdates bereit, um die Schwachstelle zu schließen.

Schwachstellen:

CVE-2020-8945

Schwachstelle in proglottis Go Wrapper ermöglicht Ausführen beliebigen Programmcodes

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.