2020-2572: PEAR: Zwei Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes
Historie:
- Version 1 (2020-11-23 16:46)
- Neues Advisory
- Version 2 (2020-11-24 08:53)
- Für Fedora 32 und 33 stehen Sicherheitsupdates in Form von 'php-pear-1.10.12-4'-Paketen im Status 'testing' bereit, um die Schwachstellen zu beheben.
- Version 3 (2020-11-26 11:16)
- Drupal bietet für Drupal 7.x, 8.8.x, 8.9.x und 9.x ein außerplanmäßiges Sicherheitsupdate auf die Versionen 7.75, 8.8.12, 8.9.10 und 9.0.9 an, um die Schwachstellen zu beheben. Versionen von Drupal 8 vor 8.8.x sind End-of-Life und erhalten keine Sicherheitsupdates mehr. Des weiteren ist zu beachten, dass eine der Schwachstellen bereits aktiv ausgenutzt wird.
- Version 4 (2020-11-27 13:22)
- Für Debian 9 Stretch (LTS) steht ein Sicherheitsupdate für 'drupal7' in Version 7.52-2+deb9u13 zur Verfügung, um die Schwachstellen zu beheben.
- Version 5 (2020-12-10 15:18)
- Canonical hat für Ubuntu 20.10, Ubuntu 20.04 LTS, Ubuntu 18.04 LTS und Ubuntu 16.04 LTS Sicherheitsupdates für 'php-pear' zur Behebung der Schwachstellen zur Verfügung gestellt.
- Version 6 (2020-12-20 11:43)
- Für Debian 10 Buster (stable) steht ein Sicherheitsupdate zur Behebung der beiden Schwachstellen in 'php-pear' bereit.
Betroffene Software
Entwicklung
Server
Betroffene Plattformen
Linux
Microsoft
Beschreibung:
Ein Angreifer kann zwei Schwachstellen lokal ausnutzen, um Dateien zu manipulieren und beliebigen Programmcode auszuführen. Für die Ausnutzung der Schwachstellen sind keine Privilegien erforderlich.
Für Debian 9 Stretch (LTS) steht ein Sicherheitsupdate für 'php-pear' in Version 1:1.10.1+submodules+notgz-9+deb9u2 zur Behebung der Schwachstellen zur Verfügung.
Schwachstellen:
CVE-2020-28948
Schwachstelle in PEAR Archive_Tar ermöglicht Ausführen beliebigen ProgrammcodesCVE-2020-28949
Schwachstelle in PEAR Archive_Tar ermöglicht Manipulation von Dateien
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.