Kurzinfo CB-K17/1429

4 Risiko: hoch
Information zu Schwachstellen und Sicherheitslücken
Titel: Sophos UTM: Mehrere Schwachstellen ermöglichen u.a. die Eskalation von Privilegien
Datum: 24.08.2017
Software: Sophos UTM Software < 9.503
Plattform: Sophos UTM
Auswirkung: Erlangen von Administratorrechten
Remoteangriff: Ja
Risiko: hoch
CVE Liste: CVE-2017-1000364, CVE-2017-11103
Bezug: Sophos UTM 9.503 Release Notes
Revisions Historie
  • Version: 1

    Neues Advisory

Beschreibung

Sophos UTM Software ist die Software-Version von Sophos UTM (ehemals Astaro Security Gateway), eine Security Gateway Lösung für Unternehmen.

Zwei nicht näher beschriebene Schwachstellen in der Konfigurationsverwaltung der Sophos UTM Software ermöglichen einem entfernten, einfach authentisierten Angreifer die Eskalation seiner Privilegien und einen Cross-Site-Scripting (XSS)-Angriff auf andere Benutzer der Software. Sophos veröffentlicht die Sophos UTM Software in Version 9.503 als Maintenance Release zur Behebung der genannten Schwachstellen. Die unter dem Namen "The Stack Clash" bekannt gewordene Linux-Kernel-Schwachstelle (CVE-2017-1000364) wird erneut adressiert. Laut Aussage des Herstellers sollte sie bereits mit Version 9.502 behoben worden sein. Neu hinzugekommen ist ein Patch für die unter dem Namen "Orpheus’ Lyre" bekannte Schwachstelle CVE-2017-11103, welche ein Aushebeln des Authentisierungsframeworks ermöglicht. Die Updates stehen über die Up2Date-Server zur Verfügung. Betroffene Systeme werden im Verlauf des Updates neu gestartet.

  1. Schwachstelle CVE-2017-1000364 (NVD)

  2. Schwachstelle CVE-2017-11103 (NVD)

  3. Sophos UTM 9.503 Release Notes

CERT-Bund bietet personalisierte Warn- und Informationsdienste an.
Bitte registrieren Sie sich, um diese Angebote nutzen zu können.