Kurzinfo CB-K16/0069

3 Risiko: mittel
Information zu Schwachstellen und Sicherheitslücken
Titel: FreeBSD, NTP, OpenSSH: Mehrere Schwachstellen ermöglichen u.a. eine Privilegieneskalation
Datum: 15.01.2016
Software: NTP, OpenBSD OpenSSH >= 5.4, OpenBSD OpenSSH <= 7.1, FreeBSD
Plattform: FreeBSD <= 9.3-RELEASE-p33, FreeBSD 9.3-STABLE, FreeBSD <= 10.1-RELEASE-p26, FreeBSD <= 10.2-RELEASE-p9, FreeBSD 10.2-STABLE
Auswirkung: Privilegieneskalation
Remoteangriff: Nein
Risiko: mittel
CVE Liste: CVE-2015-5300, CVE-2015-5677, CVE-2016-0777, CVE-2016-1879, CVE-2016-1880, CVE-2016-1881, CVE-2016-1882
Bezug: FreeBSD Security Advisory FreeBSD-SA-16:01.sctp
Beschreibung

NTP ist eine Software, die das Network Time Protocol (NTP) implementiert. Das Network Time Protocol ist ein Standard für die Synchronisierung von Uhren in Computersystemen über paketbasierte Netzwerke. Es wurde für eine zuverlässige Zeitangabe über Netzwerke mit variabler Paketlaufzeit entwickelt. Dafür wird das Transportprotokoll UDP verwendet.

Das Programmpaket OpenSSH implementiert das Secure Shell / SSH-Protokoll inklusive des SSH File Transfer Protokolls, das Clients, Dienstprogramme und einen Server umfasst.

FreeBSD (nach "Berkeley Software Distribution") ist ein freies und vollständiges, unixbasiertes Betriebssystem.

Mehrere Schwachstellen in der Linux-Kompatibilitätsschicht und anderen Kernkomponenten von FreeBSD ermöglichen einem lokalen, einfach authentifizierten Angreifer seine Privilegien zu erweitern. Weitere Schwachstellen ermöglichen auch einem entfernten, nicht authentifizierten Angreifer einen Denial-of-Service-Angriff durchzuführen, Sicherheitsvorkehrungen zu umgehen und Informationen auszuspähen. Von den Schwachstellen sind alle derzeit unterstützten FreeBSD-Versionen betroffen. Aufgrund der Schwachstelle in OpenSSH hat FreeBSD kurz nach der Veröffentlichung der Updates für Version 10.2-STABLE und 9.3-STABLE sowie den Releases 10.2-RELEASE-p9, 10.1-RELEASE-p26 und 9.3-RELEASE-p33, welche die Schwachstellen, die in den Advisories FreeBSD-SA-16:01 - FreeBSD-SA-16:06 beschrieben sind, beheben, weitere Sicherheitsupdates für 10.2-STABLE und 9.3-STABLE sowie die Version 10.2-RELEASE-p10, 10.1-RELEASE-p27 und 9.3-RELEASE-p34 bereitgestellt. Je nach gewählter Update Methode, muss nur die letzte Version (siehe FreeBSD Security Advisory FreeBSD-SA-16%3A07.openssh) installiert oder alle aufgeführten Patch-Pakete geladen werden.

  1. FreeBSD Security Advisory FreeBSD-SA-16:01.sctp

  2. FreeBSD Security Advisory FreeBSD-SA-16:03.linux

  3. Schwachstelle CVE-2015-5300 (NVD)

  4. FreeBSD Security Advisory FreeBSD-SA-16:02.ntp

  5. FreeBSD Security Advisory FreeBSD-SA-16:04.linux

  6. FreeBSD Security Advisory FreeBSD-SA-16:05.tcp

  7. FreeBSD Security Advisory FreeBSD-SA-16:06.bsnmpd

  8. Schwachstelle CVE-2015-5677 (NVD)

  9. Schwachstelle CVE-2016-0777 (NVD)

  10. Schwachstelle CVE-2016-1879 (NVD)

  11. Schwachstelle CVE-2016-1880 (NVD)

  12. Schwachstelle CVE-2016-1881 (NVD)

  13. Schwachstelle CVE-2016-1882 (NVD)

  14. FreeBSD Security Advisory FreeBSD-SA-16%3A07.openssh

CERT-Bund bietet personalisierte Warn- und Informationsdienste an.
Bitte registrieren Sie sich, um diese Angebote nutzen zu können.