2021-0003: Privoxy: Mehrere Schwachstellen ermöglichen u. a. das Erlangen von Administratorrechten

Historie:

Version 1 (2021-01-04 18:18): Neues Advisory
Version 2 (2021-01-05 09:48): Für openSUSE Backports SLE 15 SP1 und SP2 stehen ebenfalls Sicherheitsupdates für 'privoxy' zur Verfügung.
Version 3 (2021-02-17 10:37): Für Fedora EPEL 7 steht ein Sicherheitsupdate zur Behebung der Schwachstellen im Status 'testing' bereit. Die betroffene Software wird damit auf Version 3.0.31 aktualisiert. Die Schwachstelle CVE-2019-3699 wird im Changelog nicht explizit erwähnt.
Version 4 (2021-03-03 11:47): Für Fedora EPEL 7 steht ein neues Sicherheitsupdate zur Behebung der Schwachstellen im Status 'testing' bereit, welches das frühere Update FEDORA-EPEL-2021-f93d3d26db (Fedora EPEL 7, privoxy-3.0.31-1.el7) ersetzt, das in den Status 'obsolete' versetzt wurde (Referenz hier entfernt). Die betroffene Software wird damit auf Version 3.0.32 aktualisiert. Die Schwachstelle CVE-2019-3699 wird im Changelog wiederum nicht explizit erwähnt.

Betroffene Software

Server

Betroffene Plattformen

Linux

Beschreibung:

Ein Angreifer mit niedrigen Privilegien kann eine Schwachstelle lokal ausnutzen, um Privilegien von 'privoxy' auf 'root' zu eskalieren. Mehrere weitere Schwachstellen ermöglichen einem Angreifer verschiedene Denial-of-Service (DoS)-Angriffe aus der Ferne. Für diese Angriffe sind Benutzerinteraktionen notwendig.

Für openSUSE Leap 15.1 und 15.2 stehen Sicherheitsupdates zur Behebung der Schwachstellen bereit. Privoxy wird damit auf Version 3.0.29 aktualisiert.

Schwachstellen:

CVE-2019-3699

Schwachstelle in Privoxy für openSUSE ermöglicht Erlangen von Administratorrechten