2020-0729: Sophos UTM: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2020-04-08 17:16): Neues Advisory
Version 2 (2020-04-21 13:24): Sophos hat die Veröffentlichung des Sicherheitsupdates in Version 9.703 gestoppt, nachdem Benutzer über Probleme nach Installation des Updates berichtet haben. Der Hersteller untersucht die Angelegenheit (siehe Sophos Knowledge Base 135383).
Version 3 (2020-04-24 11:17): Sophos hat das Sicherheitsupdate überarbeitet und stellt nun die Version 9.703-2 für seine Kunden bereit. In den ersten Kommentaren scheint aber auch dieses Update nicht ganz fehlerlos zu sein, so dass auf jeden Fall eine Backup-Strategie angeraten ist.
Version 4 (2020-05-22 11:51): Sophos stellt den neuen Build 9.703-3 bereit, in dem die Änderungen am Programmcode zur Adressierung von NUTM-11173 rückgängig gemacht werden.

Betroffene Software

Sicherheit

Betroffene Plattformen

Hardware
Netzwerk
Sophos

Beschreibung:

Mehrere Schwachstellen ermöglichen einem entfernten Angreifer, der in zwei Fällen über übliche Benutzerrechte verfügt, das Ausführen beliebigen Programmcodes, das Durchführen von Denial-of-Service (DoS)-Angriffe und das Ausspähen von Informationen.

Sophos bestätigt die Schwachstellen für den in Sophos Unified Threat Management (UTM) Appliances eingesetzten Linux-Kernel und die Drittanbieterkomponenten strongSwan, PPTP und L2TP pppd sowie libxml2. Sophos stellt die Version 9.703 der Systemsoftware zunächst als Sicherheitsupdate im Downloadbereich bereit. In Phase 2 erfolgt die Auslieferung des Updates über die Up2Date-Server des Herstellers.

Schwachstellen:

CVE-2019-10155

Schwachstelle in libreswan ermöglicht Ausspähen von Informationen

CVE-2019-18198

Schwachstelle in Linux-Kernel ermöglicht Denial-of-Service-Angriff

CVE-2019-19956

Schwachstelle in LibXML2 ermöglicht Denial-of-Service-Angriff

CVE-2020-7595