UPDATE: DFN-CERT-2017-1982 Shadow: Eine Schwachstelle ermöglicht u.a. einen Denial-of-Service-Angriff [Linux][SuSE][Netzwerk]

UPDATE: DFN-CERT-2017-1982 Shadow: Eine Schwachstelle ermöglicht u.a. einen Denial-of-Service-Angriff [Linux][SuSE][Netzwerk]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 2 (13.11.2017):
Für openSUSE Leap 42.2 und 42.3 stehen Sicherheitsupdates zur Behebung der
Schwachstelle in ‘shadow’ zur Verfügung.
Version 1 (09.11.2017):
Neues Advisory

Betroffene Software:

Shadow < 4.5 Betroffene Plattformen: SUSE Container-as-a-Service-(CaaS)-Plattform ALL SUSE OpenStack Cloud 7 openSUSE Leap 42.2 openSUSE Leap 42.3 SUSE Linux Enterprise Desktop 12 SP2 SUSE Linux Enterprise Desktop 12 SP3 SUSE Linux Enterprise Server 12 SP2 SUSE Linux Enterprise Server 12 SP2 for Raspberry Pi SUSE Linux Enterprise Server 12 SP3 Ein entfernter, unprivilegierter Angreifer kann eine Schwachstelle in Shadow ausnutzen, um Denial-of-Service-Angriffe durchzuführen, Speicher zu korrumpieren und möglicherweise seine Privilegien zu eskalieren. Shadow ist vor Version 4.5 von der Schwachstelle betroffen. Für die SUSE Linux Enterprise Distributionsvarianten Server und Desktop in den Versionen 12 SP2 und 12 SP3, für Server for Raspberry Pi 12 SP2 sowie für SUSE Container as a Service Platform und OpenStack Cloud Magnum Orchestration 7 stehen Sicherheitsupdates für das Pakets 'shadow' bereit. Nach Einschätzung von SUSE kann die Schwachstelle in eigenen Produkten nur lokal ausgenutzt werden. Patch: SUSE Security Update SUSE-SU-2017:2947-1 http://lists.suse.com/pipermail/sle-security-updates/2017-November/003379.html

Patch:

openSUSE Security Update openSUSE-SU-2017:2979-1

http://lists.opensuse.org/opensuse-updates/2017-11/msg00030.html

CVE-2017-12424: Schwachstelle in Shadow ermöglicht u.a.
Denial-of-Service-Angriff

Durch spezielle Eingaben können in Shadow vor Version 4.5 durch das
‘newusers’ Tool interne Datenstrukturen manipuliert und dadurch unter
anderem ein Absturz, ein Pufferüberlauf oder andere Speicherbeschädigungen
ausgelöst werden.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-1982/

Schwachstelle CVE-2017-12424 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-12424

SUSE Security Update SUSE-SU-2017:2947-1:
http://lists.suse.com/pipermail/sle-security-updates/2017-November/003379.html

openSUSE Security Update openSUSE-SU-2017:2979-1:
http://lists.opensuse.org/opensuse-updates/2017-11/msg00030.html

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben