Kurzinfo CB-K19/0144

4 Risiko: hoch
Information zu Schwachstellen und Sicherheitslücken
Titel: Schwachstelle in gpsd und microjson erlaubt Codeausführung
Datum: 15.02.2019
Software: gpsd 2.90 bis 3.17, microjson 1.0 bis 1.3
Plattform: Unix/Linux
Auswirkung: Ausführen beliebigen Programmcodes mit den Rechten des Dienstes
Remoteangriff: Ja, aus dem lokalen Netzwerk
Risiko: hoch
CVE Liste: CVE-2018-17937
Bezug: Advisory (ICSA-18-310-01): gpsd Open Source Project
Beschreibung

Die beiden quelloffenen GPS Frameworks gpsd und microjson weisen eine Stack-basierte Pufferüberlaufschwachstelle auf (CVE-2018-17937). Ein entfernter Angreifer hat mithilfe von präparierten Netzwerkpaketen auf Port 2947/TCP bzw. JSON-Inhalten die Möglichkeit, beliebigen Code im Kontext des Dienstes auszuführen oder einen Absturz des Dienstes auszulösen. Unter gängigen Linux-Distributionen ist der Dienst nur lokal erreichbar.

Systeme mit Schutz vor Speicherverletzungen (z. B. DEP und ASLR) und/oder ausschließlich lokaler Verfügbarkeit des Dienstes erschweren eine Ausnutzung der Schwachstelle. Die Schwachstelle CVE-2018-17937 ist zudem in den folgenden Versionen behoben: gpsd >= Version 3.18 http://download-mirror.savannah.gnu.org/releases/gpsd/ microjson >= Version 1.4 or newer to resolve this vulnerability. http://www.catb.org/esr/microjson/

  1. gpsd Open Source Project

CERT-Bund bietet personalisierte Warn- und Informationsdienste an.
Bitte registrieren Sie sich, um diese Angebote nutzen zu können.