Liebes Linux-Magazin-Team,
bitte beachten Sie die Informationen zu den verfügbaren Sicherheitsupdates
in der folgenden Sicherheitsmeldung.
Historie:
Version 8 (04.11.24):
Für Basesystem Module 15 SP5, Desktop Applications Module 15 SP5, openSUSE
Leap 15.4, SUSE Linux Enterprise Desktop 15 SP4 LTSS und 15 SP5, SUSE
Linux Enterprise High Performance Computing 15 SP2, 15 SP2 LTSS, 15 SP4,
15 SP4 ESPOS / LTSS und 15 SP5, SUSE Linux Enterprise Real Time 15 SP5,
SUSE Linux Enterprise Server 15 SP2, 15 SP2 LTSS, 15 SP3, 15 SP3 LTSS, 15
SP4, 15 SP4 LTSS und 15 SP5, SUSE Linux Enterprise Server for SAP
Applications 15 SP3, 15 SP4 und 15 SP5 sowie SUSE Manager Retail Branch
Server 4.3 stehen Sicherheitsupdates für ‘webkit2gtk3’ auf Version 2.46.0
bereit, um die Schwachstellen CVE-2024-40866 und CVE-2024-44187 zu
beheben. Es werden weitere Schwachstellen aufgeführt, die bereits mit
früheren Versionen behoben wurden.
Version 7 (01.11.24):
Der Hersteller gibt bekannt, dass mit WebKitGTK und WPE WebKit 2.46.0
zusätzlich die Schwachstelle CVE-2024-44185 behoben wurde. Ein Angreifer
kann diese aus der Ferne ausnutzen, um einen Denial-of-Service
(DoS)-Angriff durchzuführen. Ein erfolgreicher Angriff erfordert die
Interaktion eines Benutzers.
Version 6 (24.10.24):
Für Basesystem Module 15 SP6, Desktop Applications Module 15 SP6,
Development Tools Module 15 SP6, openSUSE Leap 15.6, SUSE Linux Enterprise
Desktop 15 SP6, SUSE Linux Enterprise High Performance Computing 12 SP5,
SUSE Linux Enterprise Real Time 15 SP6, SUSE Linux Enterprise Server 12
SP5, 12 SP5 LTSS, 12 SP5 LTSS Extended Security und 15 SP6 sowie SUSE
Linux Enterprise Server for SAP Applications 12 SP5 und 15 SP6 stehen
Sicherheitsupdates für ‘webkit2gtk3’ auf Version 2.46.0 bereit, um die
beiden Schwachstellen zu beheben. Es werden weitere Schwachstellen
aufgeführt, die bereits mit früheren Versionen behoben wurden.
Version 5 (23.10.24):
Canonical stellt für Ubuntu 24.04 LTS und Ubuntu 22.04 LTS
Sicherheitsupdates für ‘webkit2gtk’ bereit, um die Schwachstelle zu
beheben.
Version 4 (15.10.24):
Für Debian 12 Bookworm (stable) steht ein Sicherheitsupdate für
‘webkit2gtk’ in Version 2.46.0-2~deb12u1 bereit, um die Schwachstellen zu
beheben.
Version 3 (07.10.24):
Für Fedora 40 steht ein Sicherheitsupdate in Form des Pakets
‘webkit2gtk4.0-2.46.1-2.fc40’ im Status ‘testing’ zur Verfügung.
Version 2 (02.10.24):
Für Fedora 39 und 40 stehen Sicherheitsupdates in Form von
‘webkitgtk-2.46.1-1’-Paketen im Status ‘testing’ bereit, welche die
vorherigen Updates FEDORA-2024-01501ccce2 (Fedora 39,
webkitgtk-2.46.0-1.fc39) und FEDORA-2024-00448ce92b (Fedora 40,
webkitgtk-2.46.0-1.fc40) ersetzen, die in den Status ‘obsolete’ überführt
wurden (Referenzen hier entfernt).
Version 1 (26.09.24):
Neues Advisory
Ein Angreifer kann zwei Schwachstellen aus der Ferne ausnutzen, um
Informationen auszuspähen und falsche Informationen darzustellen.
Für die Ausnutzung der Schwachstellen sind keine Privilegien erforderlich.
Alle Schwachstellen erfordern die Interaktion eines Benutzers.
Das WebKitGTK-Team veröffentlicht WebKitGTK und WPE WebKit 2.46.0 als
‘stable Release’, um die beiden Schwachstellen zu beheben. Es werden weitere
Schwachstellen referenziert, die bereits früher mit den WebKitGTK Releases
2.42.5, 2.44.2 und 2.44.3 behoben wurden.
Für Fedora 39 und 40 stehen als Sicherheitsupdates
‘webkitgtk-2.46.0-1’-Pakete im Status ‘testing’ bereit, um die
Schwachstellen zu beheben.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Schwachstellenarchiv unter:
[https://adv-archiv.dfn-cert.de/adv/2024-2551]
Mit freundlichen Grüßen,
Ihr DFN-CERT Incident Response Team
—
(c) DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen ist auf den Ursprung in
angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für die DFN-CERT
Webseite. https://www.dfn-cert.de/impressum.html
