Kurzinfo CB-K17/1903

2 Risiko: niedrig
Information zu Schwachstellen und Sicherheitslücken
Titel: Shadow: Eine Schwachstelle ermöglicht u.a. einen Denial-of-Service-Angriff
Datum: 09.11.2017
Software: Shadow < 4.5
Plattform: SUSE Container-as-a-Service-(CaaS)-Plattform ALL, SUSE OpenStack Cloud 7, SUSE Linux Enterprise Desktop 12 SP2, SUSE Linux Enterprise Desktop 12 SP3, SUSE Linux Enterprise Server 12 SP2, SUSE Linux Enterprise Server 12 SP2 for Raspberry Pi, SUSE Linux Enterprise Server 12 SP3
Auswirkung: Denial-of-Service
Remoteangriff: Ja
Risiko: niedrig
CVE Liste: CVE-2017-12424
Bezug: SUSE Security Update SUSE-SU-2017:2947-1
Revisions Historie
  • Version: 1

    Neues Advisory

Beschreibung

Die Shadow Password Suite besteht aus einer Sammlung von Bibliotheksmodulen zur Unterstützung verschiedener Anmeldeszenarien. Das Quellpaket 'shadow' beinhaltet die Pakete 'login' (Werkzeuge zur Systemanmeldung), 'passwd' (Ändern und Administrieren von Passwort- und Gruppendaten) und 'uidmap' (Hilfsprogramme zur Verwendung von 'subuids').

Ein entfernter, unprivilegierter Angreifer kann eine Schwachstelle in Shadow ausnutzen, um Denial-of-Service-Angriffe durchzuführen, Speicher zu korrumpieren und möglicherweise seine Privilegien zu eskalieren. Shadow ist vor Version 4.5 von der Schwachstelle betroffen. Für die SUSE Linux Enterprise Distributionsvarianten Server und Desktop in den Versionen 12 SP2 und 12 SP3, für Server for Raspberry Pi 12 SP2 sowie für SUSE Container as a Service Platform und OpenStack Cloud Magnum Orchestration 7 stehen Sicherheitsupdates für das Pakets 'shadow' bereit. Nach Einschätzung von SUSE kann die Schwachstelle in eigenen Produkten nur lokal ausgenutzt werden.

  1. Schwachstelle CVE-2017-12424 (NVD)

  2. SUSE Security Update SUSE-SU-2017:2947-1

CERT-Bund bietet personalisierte Warn- und Informationsdienste an.
Bitte registrieren Sie sich, um diese Angebote nutzen zu können.