DFN-CERT-2017-1695 Apple macOS Server: Zwei Schwachstellen ermöglichen u.a. die Ausführung beliebigen Programmcodes [Apple]

DFN-CERT-2017-1695 Apple macOS Server: Zwei Schwachstellen ermöglichen u.a. die Ausführung beliebigen Programmcodes [Apple]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

macOS Server < 5.4 Betroffene Plattformen: macOS High Sierra 10.13 Zwei Schwachstellen in dem im macOS Server verwendeten FreeRADIUS ermöglichen einem entfernten, nicht authentisierten Angreifer die Ausführung beliebigen Programmcodes sowie die Durchführung von Denial-of-Service (DoS)-Angriffen. Apple veröffentlicht die macOS Server Version 5.4 als Sicherheitsupdate und aktualisiert das darin verwendete FreeRADIUS auf die Version 2.2.10. Patch: Apple Sicherheitshinweis APPLE-SA-2017-09-25-9 / Apple-ADV-HT208102 (macOS Server 5.4) https://support.apple.com/kb/HT208102

CVE-2017-10979: Schwachstelle in FreeRADIUS ermöglicht Ausführen beliebigen
Programmcodes

In der Funktion ‘rad_coalesce()’ kann es aufgrund unzureichender Prüfungen
von WiMAX-Attributen zu einem Schreibzugriff über die Grenze eines Puffers
auf dem Heap kommen. Ein entfernter, nicht authentisierter Angreifer kann
einen Denial-of-Service-Angriff durchführen oder beliebigen Programmcode
ausführen.

CVE-2017-10978: Schwachstelle in FreeRADIUS ermöglicht
Denial-of-Service-Angriff

In der Funktion ‘make_secret()’ kann es aufgrund unzureichender Prüfungen zu
einem Lese- und Schreibzugriff über die Grenze eines Puffers von bis zu 16
Okteten Länge kommen, wodurch der FreeRADIUS Server abstürzen kann. Ein
entfernter, nicht authentisierter Angreifer kann einen
Denial-of-Service-Angriff durchführen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-1695/

Schwachstelle CVE-2017-10978 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-10978

Schwachstelle CVE-2017-10979 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-10979

Apple Sicherheitshinweis APPLE-SA-2017-09-25-9 / Apple-ADV-HT208102 (macOS
Server 5.4):
https://support.apple.com/kb/HT208102

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben