Deutsch | English

Kritische Schwachstelle in bzip2 - je nach Setup für RCE ausnutzbar

24. Juni 2019

Beschreibung

In der Kompressions-Software bzip2 gibt es eine Lücke, durch die sich in manchen Konfigurationen beliebiger Code mit den Rechten des Benutzers ausführen lässt.

CVSS3 Score: 9.8 (laut NIST NVD)
CVE-Nummer: CVE-2019-12900

Auswirkungen

Angreifer müssen es schaffen, entsprechend präparierte komprimierte Dateien zur Dekompression zu bringen. Dies kann zB durch Versand solcher Dateien per Email geschehen - hier wären sowohl Antivirus-Software etc. auf Mailservern als auch Geräte der Empfänger (Email-Clients, Dateimanager etc.) gefährdet.
Es ist auch denkbar, dass entsprechende Dateien als Download angeboten werden.

Betroffene Systeme

  • Systeme, auf denen die Kompressions-/Dekompressions-Software bzip2 in Versionen bis inkl. 1.0.6 eingesetzt wird.

Abhilfe

Ein Update steht als Source Code zur Verfügung. Es ist auch davon auszugehen, dass die diversen Unix-/Linux-Distributionen bald entsprechende Pakete bereitstellen.

Auf besonders gefährdeten Systemen - etwa Mailservern mit Antivirus-Filtern - kann bis dahin auch ein Deaktivieren des automatischen Auspackens von mit bzip2 komprimierten Dateien als Workaround dienen.

Endbenutzer sollten bis zum Einspielen entsprechend gefixter Versionen besondere Vorsicht im Umgang mit bzip2-komprimierten Dateien (übliche Dateiendung .bz2) walten lassen.

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.


Informationsquelle(n):

Kurzinfo CB-K19/053 von CERT-BUND
https://www.cert-bund.de/advisoryshort/CB-K19-0536
Meldung bei NIST NVD (englisch)
https://nvd.nist.gov/vuln/detail/CVE-2019-12900
Email: reports@cert.at
Tel.: +43 1 5056416 78
mehr ...
Kritische Sicherheitslücke in Internet Explorer - aktiv ausgenützt, Patches verfügbar
24. September 2019 | Beschreibung | Microsoft ...
Kritische Sicherheitslücke in Mailserver-Software Exim - Patches verfügbar
6. September 2019 | Beschreibung Das ...
mehr ...
In eigener Sache: CERT.at sucht Verstärkung
8. Oktober 2019 | Zur ...
Remote Desktop Services. Mal wieder.
14. August 2019 | Ich ...
mehr ...
Jahresbericht 2017
Ein Resumee zur digitalen Sicherheitslage in Österreich

(HTML, PDF).
Letzte Änderung: 2019/6/24 - 16:22:23
Haftungsausschluss / Datenschutzerklärung