2022-1208: GNU LibreDWG, Rust: Zwei Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes mit den Rechten des Dienstes

Historie:

Version 1 (2022-05-27 17:45)

Neues Advisory

Version 2 (2022-06-16 16:36)

Für openSUSE Backports SLE 15 SP4 steht ein Sicherheitsupdate für 'libredwg' bereit, um die Schwachstelle CVE-2021-28237 zu beheben.

Betroffene Software

Entwicklung
Systemsoftware

Betroffene Plattformen

Linux

Beschreibung:

Ein Angreifer kann zwei Schwachstellen aus der Ferne ausnutzen, um Dateien zu manipulieren und zu löschen sowie beliebigen Programmcode mit den Rechten des betroffenen Dienstes auszuführen.

Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich.

Für openSUSE Backports SLE 15 SP3 und openSUSE Leap 15.3 stehen Sicherheitsupdates für 'libredwg' bereit, wobei für openSUSE Backports SLE 15 SP3 die Schwachstelle CVE-2021-28237 mittels aktualisierter 'libredwg'-Pakete adressiert wird, während für openSUSE Leap 15.3 aktualisierte 'rust'-Pakete ausgeliefert werden, womit demnach die Schwachstelle CVE-2022-21658 adressiert wird.

Schwachstellen:

CVE-2021-28237

Schwachstelle in LibreDWG ermöglicht Ausführen beliebigen Programmcodes mit den Rechten des Dienstes

CVE-2022-21658

Schwachstelle in Rust ermöglicht Manipulation von Dateien

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.