Kurzinfo CB-K17/1823 Update 3

2 Risiko: niedrig
Information zu Schwachstellen und Sicherheitslücken
Titel: GNU Wget: Zwei Schwachstellen ermöglichen die Ausführung beliebigen Programmcodes und Denial-of-Service-Angriffe
Datum: 16.11.2017
Software: GNU Wget < 1.19.2
Plattform: SUSE OpenStack Cloud 6, Red Hat Enterprise Virtualization 4, Canonical Ubuntu Linux 12.04 LTS (ESM), Canonical Ubuntu Linux 14.04 LTS, Canonical Ubuntu Linux 16.04 LTS, Canonical Ubuntu Linux 17.04, Canonical Ubuntu Linux 17.10, Debian Linux 8.9 Jessie, Debian Linux 9.2 Stretch, GNU/Linux, openSUSE Leap 42.2, openSUSE Leap 42.3, SUSE Linux Enterprise Desktop 12 SP2, SUSE Linux Enterprise Desktop 12 SP3, SUSE Linux Enterprise Server 12 LTSS, SUSE Linux Enterprise Server 12 SP1 LTSS, SUSE Linux Enterprise Server for SAP 12 SP1, SUSE Linux Enterprise Server 12 SP2, SUSE Linux Enterprise Server 12 SP2 for Raspberry Pi, SUSE Linux Enterprise Server 12 SP3, Oracle Linux 7, Red Hat Enterprise Linux for Scientific Computing 7, Red Hat Enterprise Linux 7.4 EUS Compute Node, Red Hat Enterprise Linux Desktop 7, Red Hat Enterprise Linux Server 7, Red Hat Enterprise Linux Server for ARM 7, Red Hat Enterprise Linux Server 4 Year Extended Update Support 7.4, Red Hat Enterprise Linux Server 7.4 AUS, Red Hat Enterprise Linux Server 7.4 EUS, Red Hat Enterprise Linux Server 7.4 TUS, Red Hat Enterprise Linux Workstation 7, Red Hat Fedora 25, Red Hat Fedora 26, Red Hat Fedora 27
Auswirkung: Ausführen beliebigen Programmcodes
Remoteangriff: Ja
Risiko: niedrig
CVE Liste: CVE-2017-13089, CVE-2017-13090
Bezug: Red Hat Security Advisory RHSA-2017:3075
Revisions Historie
  • Version: 4

    Für SUSE OpenStack Cloud 6 und die SUSE Linux Enterprise Produkte Desktop 12 SP2 und SP3 sowie Server 12 LTSS, 12 SP1 LTSS, 12 SP2, 12 SP3 und Server for SAP 12 SP1 stehen Sicherheitsupdates zur Behebung der beiden Schwachstellen in 'wget' bereit.

  • Version: 3

    Canonical stellt jetzt auch für Ubuntu Linux 12.04 LTS ein Backport-Sicherheitsupdate bereit, das zusätzlich zwei weitere, bereits bekannte Schwachstellen behebt. Diese ermöglichen einem entfernten, nicht authentisierten Angreifer das Umgehen von Sicherheitsvorkehrungen (CVE-2016-7098) und möglicherweise die Darstellung falscher Informationen (CVE-2017-6508).

  • Version: 2

    Debian stellt für die Distributionen Jessie und Stretch Sicherheitsupdates bereit, um die Schwachstellen zu beheben. Für Fedora 25, 26 und 27 stehen Sicherheitsupdates in Form von 'wget-1.19.2-1'-Paketen im Status 'testing' zur Verfügung. Und für openSUSE Leap 42.2, openSUSE Leap 42.3 sowie SUSE Linux Enterprise Server for Raspberry Pi 12 SP2 wurden ebenfalls Sicherheitsupdates veröffentlicht.

  • Version: 1

    Neues Advisory

Beschreibung

Bei GNU Wget handelt es sich um ein freies Kommandozeilenprogramm zum Herunterladen von Dateien aus dem Internet, wofür die Protokolle ftp, http und https unterstützt werden.

Zwei Schwachstellen in GNU WGet ermöglichen es einem entfernten, nicht authentisierten Angreifer Pufferüberläufe auf dem Heap und Stack zu erzeugen und dadurch Denial-of-Service-Angriffe durchzuführen oder beliebigen Programmcode zur Ausführung zu bringen. Die Schwachstellen werden vom Hersteller mit der Version GNU WGet 1.19.2 behoben. Für die Red Hat Enterprise Linux Produktvarianten Red Hat Enterprise Linux Server in verschiedenen Editionen (unter anderem Red Hat Enterprise Linux Server AUS 7.4, EUS 7.4 und TUS 7.4 sowie Red Hat Enterprise Linux Server 7), Red Hat Enterprise Linux Desktop und Workstation 7 sowie Red Hat Enterprise Linux EUS Compute Node 7.4, Red Hat Enterprise Linux for Scientific Computing 7 und Red Hat Virtualization Host 4 stehen Backport-Sicherheitsupdates zur Behebung der Schwachstellen bereit. In Oracle Linux 7 (x86_64) werden die Schwachstellen ebenfalls durch ein Sicherheitsupdate behoben. Canonical stellt für Ubuntu Linux 14.04 LTS, 16.04 LTS, 17.04 und 17.10 Backport-Sicherheitsupdates bereit, mit denen zusätzlich zwei weitere, bereits bekannte Schwachstellen behoben werden. Diese ermöglichen einem entfernten, nicht authentisierten Angreifer das Umgehen von Sicherheitsvorkehrungen (CVE-2016-7098) und möglicherweise die Darstellung falscher Informationen (CVE-2017-6508).

  1. Schwachstelle CVE-2016-7098 (NVD)

  2. Schwachstelle CVE-2017-6508 (NVD)

  3. GNU WGet 1.19.2 Release Notes

  4. Oracle Linux Security Advisory ELSA-2017-3075

  5. Red Hat Security Advisory RHSA-2017:3075

  6. Ubuntu Security Notice USN-3464-1

  7. Schwachstelle CVE-2017-13089 (NVD)

  8. Schwachstelle CVE-2017-13090 (NVD)

  9. Viestintävirasto Vulnerability 037/2017: Critical vulnerabilities in Wget

  10. Debian Security Advisory DSA-4008-1

  11. Fedora Security Update FEDORA-2017-10fbce01ec (Fedora 27, wget-1.19.2-1.fc27)

  12. Fedora Security Update FEDORA-2017-de8a421dcd (Fedora 25, wget-1.19.2-1.fc25)

  13. Fedora Security Update FEDORA-2017-f0b3231763 (Fedora 26, wget-1.19.2-1.fc26)

  14. SUSE Security Update SUSE-SU-2017:2871-1

  15. Ubuntu Security Notice USN-3464-2

  16. openSUSE Security Update openSUSE-SU-2017:2884-1

  17. SUSE Security Update SUSE-SU-2017:2871-2

CERT-Bund bietet personalisierte Warn- und Informationsdienste an.
Bitte registrieren Sie sich, um diese Angebote nutzen zu können.