DFN-CERT

Advisory-Archiv

2020-0380: pdsh, Slurm: Mehrere Schwachstellen ermöglichen u. a. das Erlangen von Admistratorrechten

Historie:

Version 1 (2020-02-24 15:16)
Neues Advisory
Version 2 (2020-02-25 11:10)
SUSE stellt Sicherheitsupdates für 'pdsh' und 'slurm_18_08' für die SUSE Linux Enterprise Module for Open Buildservice Development Tools 15 SP1, for HPC 15 und 15 SP1 bereit, um die Schwachstellen und zwei nicht sicherheitsrelevante Fehler zu beheben.

Betroffene Software

Netzwerk
Systemsoftware

Betroffene Plattformen

Linux

Beschreibung:

Mehrere Schwachstellen in Slurm ermöglichen einem einem entfernten, nicht authentisierten Angreifer das Erlangen von Administratorrechte, die Ausführung beliebigen Programmcodes mit den Rechten des Dienstes sowie einen Denial-of-Service (DoS)-Angriff und möglicherweise weitere Angriffe. Weitere Schwachstellen ermöglichen einem entfernten, einfach authentifizierten Angreifer das Umgehen von Sicherheitsvorkehrungen und einem einfach authentifizierten Angreifer im benachbarten Netzwerk einen SQL-Injection-Angriff. Ein lokaler Angreifer kann ebenfalls einen SQL-Injection-Angriff durchführen und darüber hinaus Informationen ausspähen und seine Privilegien eskalieren.

Für SUSE Linux Enterprise Module for HPC 12 stehen Sicherheitsupdates für 'pdsh' bereit. pdsh greift mit diesem Update auf Slurm 18.08.9 zurück, mit dem die Schwachstellen adressiert werden.

Schwachstellen:

CVE-2016-10030

Schwachstelle in Slurm ermöglicht Ausführen beliebigen Programmcodes mit den Rechten des Dienstes

CVE-2017-15566

Schwachstelle in Slurm ermöglicht das Erlangen von Admistratorrechten

CVE-2018-10995

Schwachstelle in Slurm ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2018-7033

Schwachstelle in Slurm ermöglicht SQL-Injection-Angriff

CVE-2019-12838

Schwachstelle in Slurm ermöglicht SQL-Injection-Angriff

CVE-2019-19727

Schwachstelle in Slurm ermöglicht Ausspähen von Informationen

CVE-2019-19728

Schwachstelle in Slurm ermöglicht Privilegieneskalation

CVE-2019-6438

Schwachstelle in Slurm ermöglicht u. a. Denial-of-Service-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.