2022-2874: rxvt-unicode: Eine Schwachstelle ermöglicht das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2022-12-19 11:55)

Neues Advisory

Version 2 (2023-10-02 10:38)

Das Fedora-Projekt informiert darüber, dass mit dem vorherigen Update FEDORA-EPEL-2022-c57a51c195 (Fedora EPEL 7, rxvt-unicode-9.30-2.el7) lediglich die 'rxvt-unicode-terminfo'-Unterpakete ausgeliefert wurden, während das 'rxvt-unicode'-Paket ohne Dateien blieb, was der EPEL-Richtlinie widersprach. Mit dem neuen Sicherheitsupdate FEDORA-EPEL-2023-a99c56df6a (Fedora EPEL 7, libptytty-2.0-4.el7, rxvt-unicode-9.31-1.el7) wird das 'rxvt-unicode'-Paket komplett wieder hergestellt und auf Version 9.31 aktualisiert, womit die Schwachstelle CVE-2022-4170 wie für Fedora EPEL 8 korrekt behoben wird. Hiermit wird außerdem die 'libptytty'-Abhängigkeit für Fedora EPEL 7 ergänzt.

Version 3 (2023-10-20 18:08)

Für openSUSE Backports SLE 15 SP4 und SP5 stehen Sicherheitsupdates für 'rxvt-unicode' auf Version 9.31 bereit, um die Schwachstelle zu beheben.

Betroffene Software

Systemsoftware

Betroffene Plattformen

Linux

Beschreibung:

Ein Angreifer kann eine Schwachstelle aus der Ferne ausnutzen, um beliebigen Programmcode auszuführen.

Für die Ausnutzung der Schwachstelle sind keine Privilegien erforderlich.

Für Fedora EPEL 7 und 8 stehen Sicherheitsupdates in Form der Pakete 'rxvt-unicode-9.30-2.el7', 'libptytty-2.0-2.el8' und 'rxvt-unicode-9.30-3.el8' im Status 'testing' bereit, um die Schwachstelle zu beheben.

Schwachstellen:

CVE-2022-4170

Schwachstelle in rxvt-unicode ermöglicht Ausführen beliebigen Programmcodes

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.