2025-0003: Fence Agents, Jinja2: Zwei Schwachstellen ermöglichen das Ausführen beliebigen Programmcodes
Historie:
- Version 1 (2025-01-02 18:02)
- Neues Advisory
- Version 2 (2025-01-14 11:48)
- Für Red Hat Enterprise Linux for x86_64 / ARM 64 9 (x86_64, aarch64), Red Hat Enterprise Linux High Availability for x86_64 / ARM 64 9 (x86_64, aarch64) und Red Hat Enterprise Linux Resilient Storage for x86_64 9 (x86_64) stehen Sicherheitsupdates für 'fence-agents' bereit, um die Schwachstellen zu beheben.
- Version 3 (2025-01-16 08:21)
- Für Red Hat Enterprise Linux for x86_64 / ARM 64 - Extended Update Support 9.2 und 9.4 (x86_64, aarch64), Red Hat Enterprise Linux Server - AUS 9.2 und 9.4 (x86_64), Red Hat Enterprise Linux for ARM 64 - 4 years of updates 9.0, 9.2 und 9.4 (aarch64), Red Hat Enterprise Linux High Availability for x86_64 / ARM 64 - Extended Update Support 9.2 und 9.4 (x86_64, aarch64), Red Hat Enterprise Linux High Availability for ARM 64 - 4 years of updates 9.0, 9.2 und 9.4 (aarch64), Red Hat Enterprise Linux Resilient Storage for x86_64 - Extended Update Support 9.2 und 9.4 (x86_64) sowie Red Hat Enterprise Linux Resilient Storage for x86_64 - 4 years of updates 9.0, 9.2 und 9.4 (x86_64) stehen Sicherheitsupdates für 'fence-agents' bereit, um die Schwachstelle zu beheben.
- Version 4 (2025-01-16 09:32)
- Für Oracle Linux 9 (aarch64, x86_64) stehen zu RHSA-2025:0308 korrespondierende Sicherheitsupdates für 'fence-agents' bereit, um die Schwachstelle zu beheben.
- Version 5 (2025-01-30 09:51)
- Canonical stellt für Ubuntu 24.10, Ubuntu 24.04 LTS, Ubuntu 22.04 LTS, Ubuntu 20.04 LTS und Ubuntu 18.04 ESM Sicherheitsupdates für 'jinja2' bereit, um die Schwachstelle zu beheben.
Betroffene Software
Datensicherung
Sicherheit
Systemsoftware
Betroffene Plattformen
Linux
Oracle
Beschreibung:
Ein Angreifer kann zwei Schwachstellen lokal ausnutzen, um beliebigen Programmcode auszuführen.
Für die Ausnutzung der Schwachstellen ist die Kontrolle über Inhalt und Namen von Jinja-Templates erforderlich. Beide Schwachstellen erfordern die Interaktion eines Benutzers.
SUSE gibt an, dass die Schwachstellen im eigenen Produktportfolio ohne besondere Privilegien oder Benutzerinteraktion aus der Ferne ausgenutzt werden können.
Für openSUSE Leap 15.4, 15.5 und 15.6, Python 3 Module 15 SP6, Public Cloud Module 15 SP4, SUSE Linux Enterprise Desktop 15 SP4 LTSS und 15 SP6, SUSE Linux Enterprise High Performance Computing 15 SP4, 15 SP4 ESPOS / LTSS, 15 SP5 und 15 SP5 ESPOS / LTSS, SUSE Linux Enterprise Server 15 SP4, 15 SP4 LTSS, 15 SP5, 15 SP5 LTSS und 15 SP6, SUSE Linux Enterprise Server for SAP Applications 15 SP4, 15 SP5 und 15 SP6 sowie SUSE Manager Proxy 4.3, SUSE Manager Retail Branch Server 4.3 und SUSE Manager Server 4.3 stehen Sicherheitsupdates für 'python-Jinja2' bereit, um die Schwachstellen zu beheben.
Schwachstellen:
CVE-2024-56201
Schwachstelle in Jinja2 ermöglicht Ausführen beliebigen ProgrammcodesCVE-2024-56326
Schwachstelle in Jinja2 ermöglicht Ausführen beliebigen Programmcodes
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.