DFN-CERT

Advisory-Archiv

2020-1485: WebKitGTK: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2020-07-10 12:50)
Neues Advisory
Version 2 (2020-07-14 22:17)
Canonical veröffentlicht für die Distributionen Ubuntu 20.04 LTS, 19.10 und 18.04 LTS Sicherheitsupdates für 'webkit2gtk', um die aufgeführten Schwachstellen zu beheben.
Version 3 (2020-07-20 14:45)
Für Debian 10 Buster (stable) steht ein Sicherheitsupdate bereit, mit dem die Schwachstellen in 'webkit2gtk' adressiert werden.
Version 4 (2020-07-22 12:19)
Für SUSE Linux Enterprise Server for SAP 15, SUSE Linux Enterprise Server 15 LTSS, SUSE Linux Enterprise Module for Desktop Applications 15 SP1 und SP2, SUSE Linux Enterprise Module for Basesystem 15 SP1 und SP2 sowie SUSE Linux Enterprise High Performance Computing 15 LTSS und 15 ESPOS stehen Sicherheitsupdates zur Behebung der Schwachstellen in 'webkit2gtk3' bereit. Die betroffene Software wird damit auf Version 2.28.3 aktualisiert.
Version 5 (2020-07-27 11:54)
Für openSUSE Leap steht ebenfalls ein Sicherheitsupdate zur Behebung der Schwachstellen in 'webkit2gtk3' bereit. Die betroffene Software wird auch hier auf Version 2.28.3 aktualisiert.
Version 6 (2020-07-30 10:43)
Für SUSE Enterprise Storage 5, SUSE Linux Enterprise Server 12 SP2 BCL, SP2 LTSS, SP3 BCL, SP3 LTSS, SP4 LTSS und SP5, für SUSE Linux Enterprise Server for SAP 12 SP2, SP3 und SP4, SUSE Linux Enterprise Software Development Kit 12 SP5, für SUSE OpenStack Cloud 7, 8 und 9 sowie Crowbar 8 und 9 stehen Sicherheitsupdates bereit. Die betroffene Software wird damit auf Version 2.28.3 aktualisiert.

Betroffene Software

Office
Systemsoftware

Betroffene Plattformen

Netzwerk
Cloud
Linux

Beschreibung:

Ein entfernter Angreifer kann beliebigen Programmcode ausführen und einen Cross-Site-Scripting (XSS)-Angriff durchführen. Erfolgreiche Angriffe erfordert die Interaktion eines Benutzers. Zudem kann ein vermutlich entfernter Angreifer einen nicht näher spezifizierten Angriff durchführen.

Der Hersteller stellt WebKitGTK 2.28.3 als Bugfix-Release zur Verfügung und listet die Schwachstelle in den Release-Notes selbst nicht auf.

Für Fedora 31 und 32 stehen Sicherheitsupdates in Form von 'webkit2gtk3-2.28.3-1'-Paketen im Status 'testing' zur Behebung der Schwachstellen zur Verfügung.

Schwachstellen:

CVE-2020-13753

Schwachstelle in WebKitGTK ermöglicht Privilegieneskalation

CVE-2020-9802 CVE-2020-9805 CVE-2020-9850

Schwachstellen in WebKit ermöglichen Ausführung beliebigen Programmcodes

CVE-2020-9803

Schwachstelle in WebKit ermöglicht Ausführung beliebigen Programmcodes

CVE-2020-9806 CVE-2020-9807

Schwachstellen in WebKit ermöglichen Ausführung beliebigen Programmcodes

CVE-2020-9843

Schwachstelle in WebKit ermöglicht Cross-Site-Scripting-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.