2020-1885: librepo: Eine Schwachstelle ermöglicht ermöglicht die Kompromittierung des Systems
Historie:
- Version 1 (2020-08-31 17:07)
- Neues Advisory
- Version 2 (2020-09-09 10:51)
- Für Red Hat Enterprise Linux 8 und EUS 8.2 sowie für Red Hat Enterprise Linux Server - AUS 8.2 und TUS 8.2 stehen Sicherheitsupdates für 'librepo' zur Behebung der Schwachstelle bereit.
- Version 3 (2020-09-09 11:09)
- Für Oracle Linux 8 (aarch64, x86_64) stehen Sicherheitsupdates für 'librepo' zur Behebung der Schwachstelle bereit.
- Version 4 (2020-09-15 19:15)
- Für Red Hat Enterprise Linux 8.1 Extended Update Support stehen Sicherheitsupdates zur Behebung der Schwachstelle in 'librepo' zur Verfügung.
- Version 5 (2020-09-21 12:08)
- Für openSUSE Backports SLE 15 SP2 steht ein Sicherheitsupdate für 'librepo' bereit, um die Schwachstelle zu beheben.
- Version 6 (2020-10-09 09:45)
- Für Fedora 32 steht ein Sicherheitsupdate in Form der Pakete 'createrepo_c-0.16.1-2.fc32', 'dnf-4.4.0-1.fc32', 'dnf-plugins-core-4.0.18-1.fc32', 'dnf-plugins-extras-4.0.12-1.fc32', 'libdnf-0.54.2-1.fc32' und 'librepo-1.12.1-1.fc32' im Status 'testing' bereit, um die Schwachstelle zu beheben.
- Version 7 (2020-10-14 11:46)
- Das Sicherheitsupdate für Fedora 32 wurde noch um das Paket 'livecd-tools-27.1-8.fc32' ergänzt und befindet sich erneut im Status 'testing'. Ein weiteres Sicherheitsupdate in Form der erneut aktualisierten Pakete 'dnf-4.4.0-2.fc32' und 'libdnf-0.54.2-2.fc32' behebt das Problem, dass nach dem Upgrade auf 'dnf-4.4.0-1.fc32' der Start von 'dfn' fehlschlägt mit 'AttributeError: '<class 'dnf.conf.config.MainConf'>' object has no attribute 'tempfiles''.
- Version 8 (2020-10-16 10:08)
- Für Fedora 31 steht ein Sicherheitsupdate zur Behebung der Schwachstelle in 'librepo' im Status 'testing' bereit. Die betroffene Software wird damit auf Version 1.12.1 aktualisiert.
- Version 9 (2020-11-11 09:21)
- Red Hat veröffentlicht für die Red Hat Enterprise Linux Produktvarianten for Scientific Computing, Desktop, Workstation und Server in Version 7 Sicherheitsupdates für 'librepo' und behebt damit die referenzierte Schwachstelle.
- Version 10 (2020-11-12 10:34)
- Für Oracle Linux 7 (aarch64, x86_64) steht ein Sicherheitsupdate zur Behebung der Schwachstelle in 'librepo' bereit.
- Version 11 (2021-02-12 11:41)
- Für openSUSE Leap 15.2 steht erneut ein Sicherheitsupdate für 'librepo' bereit, um die Schwachstelle zu beheben. Die Software wird hiermit nun auf Version 1.12.1 aktualisiert.
- Version 12 (2021-02-15 16:41)
- Für openSUSE Backports SLE 15 SP2 steht erneut ein Sicherheitsupdate für 'librepo' bereit, um die Schwachstelle zu beheben. Die Software wird hiermit nun auf Version 1.12.1 aktualisiert.
Betroffene Software
Entwicklung
Betroffene Plattformen
Linux
Oracle
Beschreibung:
Ein entfernter Angreifer mit üblichen Benutzerrechten und der Kontrolle über ein entferntes Repository kann Dateien manipulieren. Wenn dieser kritische Systemdateien überschreibt, kann er das System vollständig kompromittieren. Ein erfolgreicher Angriff erfordert die Interaktion eines Benutzers.
Für openSUSE Leap 15.2 steht ein Sicherheitsupdate für 'librepo' bereit, um die Schwachstelle zu beheben.
Schwachstellen:
CVE-2020-14352
Schwachstelle in librepo ermöglicht Kompromittierung des Systems
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.