2021-0290: Microsoft Entwicklerwerkzeuge: Zwei Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2021-02-10 14:24)

Neues Advisory

Betroffene Software

Entwicklung
Netzwerk
Systemsoftware

Betroffene Plattformen

Microsoft

Beschreibung:

Ein Angreifer kann eine Schwachstelle in der Konfiguration verschiedener Paketmanager (u. a. pip, npm, Maven und NuGet) lokal ausnutzen, um beliebigen Programmcode auszuführen. Darüber hinaus kann ein Angreifer mit niedrigen Privilegien eine Schwachstelle in PsExec lokal ausnutzen, um Privilegien zu eskalieren.

Die verfügbaren Sicherheitsupdates können im Microsoft Security Update Guide über die Kategorie 'Developer Tools' identifiziert werden.

Die Schwachstelle CVE-2021-1733 wurde bereits im Januar mit PsExec 2.32 behoben.

Um die Schwachstelle CVE-2021-24105 zu beheben, muss der Benutzer die Konfiguration des verwendeten Paketmanagers verändern. Microsoft hat dies bezüglich ein Whitepaper veröffentlicht, welches in den Referenzen gefunden werden kann. Weitere Informationen werden in den FAQ zur Schwachstelle bei Microsoft bereitgestellt.

Schwachstellen:

CVE-2021-1733

Schwachstelle in PsExec ermöglicht Eskalation von Privilegien

CVE-2021-24105

Schwachstelle in verschiedenen Paketmanagern ermöglicht Ausführen beliebigen Programmcodes

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.