2021-0345: BusyBox: Mehrere Schwachstellen ermöglichen u. a. das Erlangen von Administratorrechten

Historie:

Version 1 (2021-02-15 17:21): Neues Advisory

Betroffene Software

Systemsoftware

Betroffene Plattformen

Linux

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Sicherheitsvorkehrungen zu umgehen, beliebigen Programmcode auszuführen und einen Denial-of-Service (DoS)-Angriff durchzuführen. Zudem kann ein Angreifer mehrere Schwachstellen lokal ausnutzen, um Dateien zu manipulieren, Sicherheitsvorkehrungen zu umgehen, beliebigen Programmcode auszuführen und nicht spezifizierte Angriffe durchzuführen. Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich. Zwei Schwachstellen erfordern die Interaktion eines Benutzers. Die erfolgreiche Ausnutzung einer Schwachstelle kann Einfluss auf andere Komponenten haben.

Für Debian 9 Stretch (LTS) steht ein Sicherheitsupdate von 'busybox' in Version 1:1.22.0-9+deb8u2 zur Behebung der Schwachstellen bereit.

Schwachstellen:

CVE-2011-5325

Schwachstelle in BusyBox ermöglicht Manipulation von Dateien

CVE-2013-1813

Schwachstelle in BusyBox ermöglicht Erlangen von Administratorrechten

CVE-2014-4607

Schwachstelle in der Datenkompressionsbibliothek LZO ermöglicht Ausführen beliebigen Programmcodes

CVE-2014-9645

Schwachstelle in BusyBox ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2015-9261

Schwachstelle in BusyBox ermöglicht Denial-of-Service-Angriff

CVE-2016-2147

Schwachstelle im DHCP-Client ermöglicht Denial-of-Service-Angriff

CVE-2016-2148