2020-1700: Net-SNMP: Zwei Schwachstellen ermöglichen Privilegieneskalationen

Historie:

Version 1 (2020-08-05 13:24): Neues Advisory
Version 2 (2020-08-17 13:25): Für Debian 10 Buster (stable) steht ein Sicherheitsupdate für 'net-snmp' auf Version 5.7.3+dfsg-5+deb10u1 zur Verfügung, um die Schwachstellen zu beheben.
Version 3 (2020-08-25 12:46): Canonical stellt für Ubuntu 20.04 LTS, Ubuntu 18.04 LTS, Ubuntu 16.04 LTS, Ubuntu 14.04 ESM und Ubuntu 12.04 ESM Sicherheitsupdates für Net-SNMP bereit, um die beiden Schwachstellen zu beheben. Ubuntu 12.04 ESM ist von der Schwachstelle CVE-2020-15862 nicht betroffen.
Version 4 (2020-09-02 10:56): Das Sicherheitsupdate für Ubuntu 18.04 LTS, Ubuntu 16.04 LTS und Ubuntu 14.04 ESM hat zu einer Regression geführt, wodurch 'nsExtendCacheTime' nicht mehr konfiguriert werden kann. Dieses Update behebt den Fehler durch das Hinzufügen des 'cacheTime'-Flags.

Betroffene Software

Systemsoftware

Betroffene Plattformen

Linux

Beschreibung:

Eine Schwachstelle in Net-SNMP ermöglicht einem entfernten Angreifer mit üblichen Benutzerrechten das Eskalieren von Privilegien. Der Angriff erfordert die Interaktion eines Benutzers und kann Einfluss auf weitere Komponenten betroffener Systeme haben.

Für Debian 9 Stretch (LTS) steht ein Backport-Sicherheitsupdate für 'net-snmp' auf Version 5.7.3+dfsg-1.7+deb9u3 zur Verfügung. Das Update adressiert auch einen unvollständigen Fix für CVE-2020-15862, der über DLA-2299-1 ausgeliefert wurde.

Schwachstellen:

CVE-2020-15861

Schwachstelle in Net-SNMP ermöglicht Privilegieneskalation

CVE-2020-15862