2022-1218: NTFS-3G: Mehrere Schwachstellen ermöglichen das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2022-05-31 09:55): Neues Advisory
Version 2 (2022-06-07 19:05): Canonical stellt für Ubuntu 22.04 LTS, Ubuntu 21.10, Ubuntu 20.04 LTS und Ubuntu 18.04 LTS Sicherheitsupdates für 'ntfs-3g' bereit, um die Schwachstellen zu beheben.
Version 3 (2022-06-09 11:01): Für Fedora 35 stehen die Pakete 'ntfs-3g-system-compression-1.0-9.fc35' und 'ntfs-3g-2022.5.17-1.fc35' im Status 'testing' als Sicherheitsupdates bereit.
Version 4 (2022-06-10 09:53): Für Fedora 36 stehen nun ebenfalls die Pakete 'ntfs-3g-system-compression-1.0-9.fc36' und 'ntfs-3g-2022.5.17-1.fc36' im Status 'testing' als Sicherheitsupdates bereit.
Version 5 (2022-06-13 10:33): Für Debian 10 Buster (oldstable) und Debian 11 Bullseye (stable) stehen Sicherheitsupdates für 'ntfs-3g' in den Versionen 1:2017.3.23AR.3-3+deb10u2 und 1:2017.3.23AR.3-4+deb11u2 bereit, um die Schwachstellen zu beheben.
Version 6 (2022-06-22 08:54): Für Debian 9 Stretch (LTS) steht ein Sicherheitsupdate für 'ntfs-3g' in Version 1:2016.2.22AR.1+dfsg-1+deb9u3 bereit. Hierbei werden alle Schwachstellen bis auf CVE-2021-46790 referenziert.
Version 7 (2022-08-02 20:35): Canonical stellt korrespondierend zu USN-5463-1 für Ubuntu 16.04 ESM und Ubuntu 14.04 ESM Sicherheitsupdates für 'ntfs-3g' bereit, um die Schwachstellen zu beheben.
Version 8 (2022-08-10 09:57): Für Fedora EPEL 7, 8 und 9 stehen Sicherheitsupdates in Form von 'ntfs-3g-2022.5.17'-Paketen im Status 'testing' zur Behebung der referenzierten Schwachstellen bereit.
Version 9 (2022-08-18 13:51): Für SUSE Linux Enterprise Desktop 12 SP5, 15 SP3 und 15 SP4, SUSE Linux Enterprise Server 12 SP5, 15 SP3 und 15 SP4, SUSE Linux Enterprise Server for SAP Applications 12 SP5, SUSE Linux Enterprise Server for SAP Applications 15 SP3 und 15 SP4, SUSE Linux Enterprise Software Development Kit 12 SP5, SUSE Linux Enterprise Workstation Extension 12 SP5, 15 SP3 und 15 SP4 sowie openSUSE Leap 15.3 und openSUSE Leap 15.4 stehen Sicherheitsupdates für 'ntfs-3g_ntfsprogs' auf Version 2022.5.17 bereit, um die Schwachstellen zu beheben.

Betroffene Software

Systemsoftware

Betroffene Plattformen

Linux

Beschreibung:

Ein Angreifer kann eine Schwachstelle aus der Ferne ausnutzen, um beliebigen Programmcode auszuführen. Zudem kann ein Angreifer mehrere Schwachstellen lokal ausnutzen, um beliebigen Programmcode auszuführen.

Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich.

Das NTFS3G-Projekt bestätigt die Schwachstellen für alle Versionen bis einschließlich Version 2021.8.22 und veröffentlicht Version 2022.5.17 zur Behebung der Schwachstellen.