Liebes Linux-Magazin-Team,
bitte beachten Sie die Informationen zu den verfügbaren Sicherheitsupdates
in der folgenden Sicherheitsmeldung.
Historie:
Version 7 (06.11.18):
Für Oracle Linux 7 (x86_64) steht ein Sicherheitsupdate für ‘wget’ bereit.
Die im Changelog zum Sicherheitsupdate zusätzlich erwähnten Schwachstellen
CVE-2017-13089 und CVE-2017-13090 wurden bereits mit ELSA-2017-3075
adressiert.
Version 6 (30.10.18):
Für Red Hat Enterprise Linux Server, Workstation, Desktop, for Scientific
Computing und for ARM 7 sowie Red Hat Virtualization Host 4 stehen
Sicherheitsupdates für ‘wget’ zur Behebung der Schwachstelle zur
Verfügung.
Version 5 (23.05.18):
Für openSUSE Leap 42.3 wurde ein Sicherheitsupdate für Wget
veröffentlicht, um die Schwachstelle zu beheben.
Version 4 (23.05.18):
Für die SUSE Linux Enterprise Produktvarianten Server 11 SECURITY, 11 SP4
und 12 SP3, Debuginfo 11 SP4 sowie Desktop 12 SP3 stehen
Sicherheitsupdates zur Behebung der Schwachstelle bereit.
Version 3 (09.05.18):
Das Sicherheitsupdate steht jetzt auch für Ubuntu 12.04 ESM zur Verfügung.
Version 2 (09.05.18):
Die Schwachstelle wird vom Hersteller mit Version 1.19.5 der Software
behoben. Für Fedora 26, 27 und 28 stehen Sicherheitsupdates auf diese
Version im Status ‘pending’ zur Verfügung. Canonical stellt für Ubuntu
14.04 LTS, 16.04 LTS, 17.10 und 18.04 LTS Backport-Sicherheitsupdates zur
Behebung der Schwachstelle bereit.
Version 1 (08.05.18):
Neues Advisory
Ein entfernter, nicht authentisierter Angreifer kann mit Hilfe einer
Webseite beliebige Cookies erstellen und manipulieren. Dafür muss ein
Benutzer eine HTTP-Anfrage mit GNU Wget und dem Argument ‘–save-cookies’ an
einen vom Angreifer kontrollierten Server senden.
Für Debian Jessie (oldstable) 8.10 und Stretch (stable) 9.4 stehen Backport-
Sicherheitsupdates für ‘wget’ zur Behebung der Schwachstelle bereit.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Schwachstellenarchiv unter:
[https://adv-archiv.dfn-cert.de/adv/2018-0862]
Mit freundlichen Grüßen,
Ihr DFN-CERT Incident Response Team
—
(c) DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen ist auf den Ursprung in
angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für die DFN-CERT
Webseite. https://www.dfn-cert.de/impressum.html