2020-0956: Tails: Mehrere Schwachstellen ermöglichen u. a. HTTP-Request-Smuggling-Angriffe

Historie:

Version 1 (2020-05-06 19:04)

Neues Advisory

Betroffene Software

Sicherheit
Systemsoftware

Betroffene Plattformen

Apple
Linux
Microsoft

Beschreibung:

Mehrere Schwachstellen in den in Tails eingesetzten Komponenten Node.js, ReportLab, nginx, WebKitGTK, OpenLDAP, HTTP/2-Server, Mozilla Firefox, Firefox ESR und Thunderbird, Git, WebRTC und OpenSSL ermöglichen einem entfernten Angreifer das Durchführen von HTTP-Request-Smuggling- und Denial-of-Service (DoS)-Angriffen, das Ausführen beliebigen Programmcodes, das Umgehen von Sicherheitsvorkehrungen, das Erlangen von Benutzerrechten und das Ausspähen von Informationen. Mehrere dieser Angriffe erfordern die Interaktion eines Benutzers und können Einfluss auf andere Komponenten betroffener Systeme haben.

Das Tor Projekt informiert über die Schwachstellen mit Verweisen auf verschiedene Advisories von Mozilla und Debian und empfiehlt ein Update auf Tails 4.6, um die Schwachstellen zu beheben. Mit dem Update wird der Tor Browser auf Version 9.0.10 aktualisiert.

Schwachstellen:

CVE-2019-15604

Schwachstelle in Node.js ermöglicht Denial-of-Service-Angriff

CVE-2019-15605

Schwachstelle in Node.js ermöglicht HTTP-Request-Smuggling-Angriff

CVE-2019-15606

Schwachstelle in Node.js ermöglicht HTTP-Request-Smuggling-Angriff

CVE-2019-17626

Schwachstelle in ReportLab ermöglicht Ausführen beliebigen Programmcodes

CVE-2019-9511

Schwachstelle in HTTP/2-Server ermöglicht Denial-of-Service-Angriff

CVE-2019-9513

Schwachstelle in HTTP/2-Server ermöglicht Denial-of-Service-Angriff

CVE-2019-9514

Schwachstelle in HTTP/2-Server ermöglicht Denial-of-Service-Angriff

CVE-2020-11008

Schwachstelle in Git ermöglicht Erlangen von Benutzerrechten

CVE-2020-11793

Schwachstelle in WebKitGTK ermöglicht u. a. Ausführung beliebigen Programmcodes

CVE-2020-12243

Schwachstelle in OpenLDAP ermöglicht Denial-of-Service-Angriff

CVE-2020-12387

Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird ermöglicht u. a. Denial-of-Service-Angriff

CVE-2020-12388

Schwachstelle in Mozilla Firefox und Firefox ESR ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2020-12389

Schwachstelle in Mozilla Firefox und Firefox ESR ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2020-12392

Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird ermöglicht Ausspähen von Informationen

CVE-2020-12393

Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird ermöglicht Ausführen beliebigen Programmcodes

CVE-2020-12395

Schwachstellen in Mozilla Firefox, Firefox ESR und Thunderbird ermöglichen Ausführen beliebigen Programmcodes

CVE-2020-1967

Schwachstelle in OpenSSL ermöglicht Denial-of-Service-Angriff

CVE-2020-5260

Schwachstelle in Git ermöglicht Erlangen von Benutzerrechten

CVE-2020-6819

Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird ermöglicht Ausführung beliebigen Programmcodes

CVE-2020-6820

Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird ermöglicht Ausführung beliebigen Programmcodes

CVE-2020-6821

Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird ermöglicht Ausspähen von Informationen

CVE-2020-6822

Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird ermöglicht Ausführung beliebigen Programmcodes

CVE-2020-6825

Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird ermöglicht Ausführen beliebigen Programmcodes

CVE-2020-6831

Schwachstelle in WebRTC ermöglicht Ausführung beliebigen Programmcodes

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.