UPDATE: DFN-CERT-2021-0181 sudo: Mehrere Schwachstellen ermöglichen u. a. das Erlangen von Administratorrechten

UPDATE: DFN-CERT-2021-0181 sudo: Mehrere Schwachstellen ermöglichen u. a. das Erlangen von Administratorrechten

Von

Liebes Linux-Magazin-Team,

bitte beachten Sie die Informationen zu den verfügbaren Sicherheitsupdates
in der folgenden Sicherheitsmeldung.

Historie:

Version 2 (27.01.21):
Für SUSE OpenStack Cloud 7, SUSE Linux Enterprise Server 12 SP2 BCL / LTSS
und SUSE Linux Enterprise Server for SAP 12 SP2 stehen Sicherheitsupdates
zur Behebung der Schwachstellen CVE-2021-23239 und CVE-2021-3156 sowie für
openSUSE Leap 15.1 und 15.2 zur Behebung aller Schwachstellen und eines
weiteren, nicht sicherheitsrelevanten Fehlers bereit.
Version 1 (27.01.21):
Neues Advisory

Ein Angreifer kann eine Schwachstelle lokal ausnutzen, um beliebigen
Programmcode mit den Rechten von ‘root’ auszuführen. Ein erfolgreicher
Angriff erfordert die Interaktion eines Benutzers und die Existenz der
‘sudoers’-Datei ‘/etc/sudoers’. Der Angreifer muss dort nicht selbst
aufgeführt werden. Eine weitere Schwachstelle ermöglicht dem Angreifer das
Ausspähen von Informationen. Zusätzlich kann ein Angreifer mit niedrigen
Privilegien eine Schwachstelle lokal ausnutzen, um Privilegien zu
eskalieren.

Für SUSE CaaS Platform 4.0, SUSE Enterprise Storage 5 und 6, SUSE Linux
Enterprise High Performance Computing 15 und 15 SP1 ESPOS / LTSS, SUSE Linux
Enterprise Module for Basesystem 15 SP1, SP2 und SP3, SUSE Linux Enterprise
Server 12 SP3 BCL / LTSS, SP4 LTSS und SP5 sowie 15 LTSS und 15 SP1 BCL /
LTSS, SUSE Linux Enterprise Server for SAP 12 SP3 und SP4 sowie 15 und 15
SP1, SUSE Linux Enterprise Software Development Kit 12 SP5, SUSE Manager
Proxy und Server 4.0, SUSE OpenStack Cloud 8, 9 sowie Crowbar 8 und 9 stehen
Sicherheitsupdates zur Behebung der Schwachstellen und eines weiteren, nicht
sicherheitsrelevanten Fehlers bereit.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Schwachstellenarchiv unter:
[https://adv-archiv.dfn-cert.de/adv/2021-0181]

Mit freundlichen Grüßen,
Ihr DFN-CERT Incident Response Team


(c) DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen ist auf den Ursprung in
angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für die DFN-CERT
Webseite. https://www.dfn-cert.de/impressum.html

© COMPUTEC MEDIA GmbH
Nach oben