2020-2173: Yaws: Zwei Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2020-10-06 16:45)

Neues Advisory

Version 2 (2020-10-19 09:22)

Für Debian 10 Buster (stable) steht ein Sicherheitsupdate für 'yaws' in Version 2.0.6+dfsg-1+deb10u1 zur Behebung der Schwachstellen bereit.

Betroffene Software

Server

Betroffene Plattformen

Linux

Beschreibung:

Zwei Schwachstellen ermöglichen einem entfernten Angreifer das Ausführen beliebigen Programmcodes und das Durchführen eines XML-eXternal-Entity (XXE)-Angriffs.

Für Debian 9 Stretch (LTS) steht ein Sicherheitsupdate für 'yaws' in Version 2.0.4+dfsg-1+deb9u1 zur Behebung der Schwachstellen bereit.

Canonical stellt für Ubuntu 18.04 LTS ebenfalls ein Sicherheitsupdate für 'yaws' zur Verfügung.

Schwachstellen:

CVE-2020-24379

Schwachstelle in Yaws ermöglicht XML-eXternal-Entity-Angriff

CVE-2020-24916

Schwachstelle in Yaws ermöglicht Ausführen beliebigen Programmcodes

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.