2023-1134: Netatalk: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2023-05-17 13:27): Neues Advisory
Version 2 (2023-06-02 09:23): Debian informiert darüber, dass mit der Behebung der Schwachstelle CVE-2022-23121 eine Regression eingeführt, sofern der Netatalk Server das AppleDouble v2 Dateisystemformat nutzt. Die Version 3.1.12~ds-3+deb10u2 korrigiert den Fehler.
Version 3 (2023-06-08 16:19): Canonical stellt für Ubuntu 22.10, Ubuntu 22.04 LTS, Ubuntu 20.04 LTS, Ubuntu 18.04 ESM, Ubuntu 16.04 ESM und Ubuntu 14.04 ESM Sicherheitsupdates für 'netatalk' bereit, um die Schwachstellen zu beheben.
Version 4 (2023-08-14 09:50): Debian informiert darüber, dass mit Behebung der Schwachstelle CVE-2022-23123 eine weitere Regression eingeführt wurde, welche einen Teil von Benutzern betrifft, die bestimmte Metadaten in ihren geteilten Dateien haben, wodurch es unvermeidlich zum Absturz kommt. Die Version 3.1.12~ds-3+deb10u3 korrigiert den Fehler und enthält außerdem einen Fix, um MS Office Dateien auf ein ansonsten funktionierendes geteiltes Volumen zu sichern.

Betroffene Software

Server

Betroffene Plattformen

Linux

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um beliebigen Programmcode mit 'root'-Rechten auszuführen. Zudem kann ein Angreifer mehrere Schwachstellen im benachbarten Netzwerk ausnutzen, um beliebigen Programmcode auszuführen und beliebigen Programmcode mit 'root'-Rechten auszuführen. Ein Angreifer kann eine Schwachstelle lokal ausnutzen, um beliebigen Programmcode auszuführen.

Für die Ausnutzung der Schwachstellen sind keine Privilegien erforderlich. Eine Schwachstelle erfordert die Interaktion eines Benutzers.

Für Debian 10 Buster (LTS) steht ein Sicherheitsupdate für 'netatalk' in Version 3.1.12~ds-3+deb10u1 bereit, um die Schwachstellen zu beheben.