2024-0423: SUSE Manager Client Tools: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2024-03-07 13:44)

Neues Advisory

Betroffene Software

Systemsoftware

Betroffene Plattformen

Linux
Container

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen in Abhängigkeiten der SUSE Manager Client Tools aus der Ferne ausnutzen, um Informationen auszuspähen, beliebigen Programmcode auszuführen, einen Cross-Site-Scripting (XSS)-Angriff durchzuführen und einen Denial-of-Service (DoS)-Angriff durchzuführen. Zudem kann ein Angreifer zwei Schwachstellen lokal ausnutzen, um Administratorrechte zu erlangen und einen Denial-of-Service (DoS)-Angriff durchzuführen.

Für die Ausnutzung der meisten Schwachstellen sind keine Privilegien erforderlich. Mehrere Schwachstellen erfordern die Interaktion eines Benutzers.

SUSE veröffentlicht Sicherheitsupdates für openSUSE Leap 15.3 bis 15.5, SUSE Linux Enterprise Desktop 12 einschließlich SP1 bis SP4 und 15 einschließlich SP1 bis SP6, SUSE Linux Enterprise High Performance Computing 12 SP2 bis SP4 und 15 einschließlich SP1 bis SP6, SUSE Linux Enterprise Server 12 einschließlich SP1 bis SP5 und 15 einschließlich SP1 bis SP6, SUSE Linux Enterprise Server for SAP Applications 12 einschließlich SP1 bis SP5 und 15 einschließlich SP1 bis SP6, SUSE Linux Enterprise Server for the Raspberry Pi 12 SP2, SUSE Manager Client Tools für SLE 12, SLE 15 und SLE Micro 5, SUSE Linux Enterprise Micro 5.0 bis 5.5, SUSE Linux Enterprise Real Time 15 SP1 bis SP5 und SUSE Manager 4.3 in den Varianten Proxy, Retail Branch Server und Server um die Schwachstellen zu beheben.

Schwachstellen:

CVE-2020-7753

Schwachstelle in trim ermöglicht Denial-of-Service-Angriff

CVE-2021-3807

Schwachstelle in node-ansi-regex ermöglicht Denial-of-Service-Angriff

CVE-2021-3918

Schwachstelle in nodejs-json-schema ermöglicht u. a. Ausführen beliebigen Programmcodes

CVE-2021-43138

Schwachstelle in Async ermöglicht Erlangen von Administratorrechten

CVE-2021-43798

Schwachstelle in Grafana ermöglicht Directory-Traversal-Angriff

CVE-2021-43815

Schwachstelle in Grafana ermöglicht Directory-Traversal-Angriff

CVE-2022-0155

Schwachstelle follow-redirects ermöglicht Ausspähen von Informationen

CVE-2022-41715

Schwachstelle in Go ermöglicht Denial-of-Service-Angriff

CVE-2023-40577

Schwachstelle in Prometheus Alertmanager ermöglicht Cross-Site-Scripting-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.