UPDATE: DFN-CERT-2017-0516 Wget: Eine Schwachstelle ermöglicht die Manipulation von Dateien [Linux][Fedora][SuSE]

UPDATE: DFN-CERT-2017-0516 Wget: Eine Schwachstelle ermöglicht die Manipulation von Dateien [Linux][Fedora][SuSE]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 3 (02.06.2017):
Für die Distributionen Fedora 24 und Fedora 25 stehen
Backport-Sicherheitsupdates in Form der Pakete ‘wget-1.18-2.fc24’ bzw.
‘wget-1.18-3.fc25’ im Status ‘testing’ bereit, um die Schwachstelle zu
beheben.
Version 2 (31.03.2017):
Für openSUSE Leap 42.2 und openSUSE Leap 42.1 stehen
Backport-Sicherheitsupdates zur Behebung der Schwachstelle bereit.
Version 1 (23.03.2017):
Neues Advisory

Betroffene Software:

GNU wget <= 1.19.1 Betroffene Plattformen: SUSE Linux Enterprise Debuginfo 11 SP4 openSUSE Leap 42.1 openSUSE Leap 42.2 SUSE Linux Enterprise Desktop 12 SP1 SUSE Linux Enterprise Desktop 12 SP2 SUSE Linux Enterprise Server 11 SECURITY SUSE Linux Enterprise Server 11 SP4 SUSE Linux Enterprise Server 12 SP1 SUSE Linux Enterprise Server 12 SP2 SUSE Linux Enterprise Server 12 SP2 for Raspberry Pi Red Hat Fedora 24 Red Hat Fedora 25 Ein entfernter, nicht authentisierter Angreifer kann mit Hilfe speziell präparierter URLs Zeilenumbrüche in HTTP-Kopfdaten einfügen (CRLF-Injection) und dadurch möglicherweise weitere Angriffe ausführen. Für die SUSE Linux Enterprise Produkte Server 11 SP4, Server 11 Security, Server 12 SP1, Server 12 SP2 und Server for Raspberry Pi 12 SP2 sowie Desktop 12 SP1 und SP2 stehen Sicherheitsupdates bereit. Die SUSE Linux Enterprise Debuginfo 11 SP4-Repositories wurden gleichzeitig aktualisiert. Patch: SUSE Security Update SUSE-SU-2017:0799-1 http://lists.suse.com/pipermail/sle-security-updates/2017-March/002739.html

Patch:

SUSE Security Update SUSE-SU-2017:0800-1

http://lists.suse.com/pipermail/sle-security-updates/2017-March/002740.html

Patch:

openSUSE Security Update openSUSE-SU-2017:0890-1

http://lists.opensuse.org/opensuse-updates/2017-03/msg00113.html

Patch:

Fedora Security Update FEDORA-2017-22f1a8404e (Fedora 25, wget-1.18-3.fc25)

https://bodhi.fedoraproject.org/updates/FEDORA-2017-22f1a8404e

Patch:

Fedora Security Update FEDORA-2017-ed1c665a3f (Fedora 24, wget-1.18-2.fc24)

https://bodhi.fedoraproject.org/updates/FEDORA-2017-ed1c665a3f

CVE-2017-6508: Schwachstelle in Wget ermöglicht Einfügen von Zeilenumbrüchen
in Kopfdaten

Die Funktion ‘url_parse’ innerhalb von ‘url.c’ in Wget bis inklusive Version
1.19.1 prüft die Host-Komponente von URLs nicht ausreichend auf
Zeilenumbrüche.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-0516/

Schwachstelle CVE-2017-6508 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-6508

SUSE Security Update SUSE-SU-2017:0799-1:
http://lists.suse.com/pipermail/sle-security-updates/2017-March/002739.html

SUSE Security Update SUSE-SU-2017:0800-1:
http://lists.suse.com/pipermail/sle-security-updates/2017-March/002740.html

openSUSE Security Update openSUSE-SU-2017:0890-1:
http://lists.opensuse.org/opensuse-updates/2017-03/msg00113.html

Fedora Security Update FEDORA-2017-22f1a8404e (Fedora 25, wget-1.18-3.fc25):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-22f1a8404e

Fedora Security Update FEDORA-2017-ed1c665a3f (Fedora 24, wget-1.18-2.fc24):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-ed1c665a3f

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben