2021-0156: WavPack: Mehrere Schwachstellen ermöglichen u. a. die Ausführung beliebigen Programmcodes

Historie:

Version 1 (2021-01-22 11:55): Neues Advisory
Version 2 (2021-01-25 09:02): Für openSUSE Leap 15.1 und 15.2 stehen Sicherheitsupdates für 'wavpack' bereit, um die Schwachstellen zu beheben.

Betroffene Software

Office
Systemsoftware

Betroffene Plattformen

Cloud
Linux

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen lokal ausnutzen, um Denial-of-Service (DoS)-Angriffe durchzuführen oder möglicherweise beliebigen Programmcode zur Ausführung zu bringen. Für die Ausnutzung der Schwachstellen sind keine Privilegien erforderlich. Alle Schwachstellen erfordern die Interaktion eines Benutzers.

Für SUSE CaaS Platform 4.0, SUSE Manager Proxy 4.0, SUSE Manager Server 4.0, SUSE Enterprise Storage 6, SUSE Linux Enterprise Module for Basesystem 15 SP2 und 15 SP3, SUSE Linux Enterprise Module for Desktop Applications 15 SP2 und 15 SP3, SUSE Linux Enterprise Server for SAP 15 und 15 SP1, SUSE Linux Enterprise Server 15 LTSS und 15 SP1 BCL / LTSS sowie SUSE Linux Enterprise High Performance Computing 15 ESPOS / LTSS und 15 SP1 ESPOS / LTSS stehen Sicherheitsupdates für 'wavpack' zur Behebung der Schwachstellen bereit.

Schwachstellen:

CVE-2018-10536

Schwachstelle in WavPack ermöglicht u. a. Denial-of-Service-Angriff

CVE-2018-10537

Schwachstelle in WavPack ermöglicht u. a. Denial-of-Service-Angriff

CVE-2018-10538

Schwachstelle in WavPack ermöglicht u. a. Denial-of-Service-Angriff

CVE-2018-10539

Schwachstelle in WavPack ermöglicht u. a. Denial-of-Service-Angriff