Liebes Linux-Magazin-Team,

bitte beachten Sie die Informationen zu den verfügbaren Sicherheitsupdates
in der folgenden Sicherheitsmeldung.

Historie:

Version 2 (12.07.18):
Für Fedora 27 und 28 sowie für Fedora EPEL 6 und 7 stehen
Sicherheitsupdates für ‘uwsgi’ im Status ‘testing’ bereit, mit denen die
Software auf die Version 2.0.17.1 aktualisiert wird. Das Update für Fedora
27 behebt zusätzlich die Schwachstelle CVE-2018-6758 aus einer früheren
Version, die dem Angreifer einen Denial-of-Service (DoS)-Angriff
ermöglicht.
Version 1 (19.03.18):
Neues Advisory

Ein entfernter, nicht authentisierter Angreifer kann eine Schwachstelle im
PHP-Plugin von uWSGI ausnutzen, um über einen
Verzeichnistraversierungsangriff (Directory Traversal) die Inhalte
beliebiger Dateien außerhalb des Wurzelverzeichnisses der Anwendung
auszuspähen.

Der Hersteller behebt die Schwachstelle in Version 2.0.17 der Software.

Debian stellt für die alte stabile Distribution Jessie und die stabile
Distribution Stretch Backport-Sicherheitsupdates zur Behebung der
Schwachstelle zur Verfügung. Das Sicherheitsupdate für Jessie adressiert
zusätzlich die Denial-of-Service-Schwachstelle CVE-2018-6758, welche mit
uWSGI 2.0.16 behoben wurde.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Schwachstellenarchiv unter:
[https://adv-archiv.dfn-cert.de/adv/2018-0528]

Mit freundlichen Grüßen,
Ihr DFN-CERT Incident Response Team

—
(c) DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen ist auf den Ursprung in
angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für die DFN-CERT
Webseite. https://www.dfn-cert.de/impressum.html