Deutsch | English

Kritische Schwachstelle in bzip2 - je nach Setup für RCE ausnutzbar

24. Juni 2019

Beschreibung

In der Kompressions-Software bzip2 gibt es eine Lücke, durch die sich in manchen Konfigurationen beliebiger Code mit den Rechten des Benutzers ausführen lässt.

CVSS3 Score: 9.8 (laut NIST NVD)
CVE-Nummer: CVE-2019-12900

Auswirkungen

Angreifer müssen es schaffen, entsprechend präparierte komprimierte Dateien zur Dekompression zu bringen. Dies kann zB durch Versand solcher Dateien per Email geschehen - hier wären sowohl Antivirus-Software etc. auf Mailservern als auch Geräte der Empfänger (Email-Clients, Dateimanager etc.) gefährdet.
Es ist auch denkbar, dass entsprechende Dateien als Download angeboten werden.

Betroffene Systeme

  • Systeme, auf denen die Kompressions-/Dekompressions-Software bzip2 in Versionen bis inkl. 1.0.6 eingesetzt wird.

Abhilfe

Ein Update steht als Source Code zur Verfügung. Es ist auch davon auszugehen, dass die diversen Unix-/Linux-Distributionen bald entsprechende Pakete bereitstellen.

Auf besonders gefährdeten Systemen - etwa Mailservern mit Antivirus-Filtern - kann bis dahin auch ein Deaktivieren des automatischen Auspackens von mit bzip2 komprimierten Dateien als Workaround dienen.

Endbenutzer sollten bis zum Einspielen entsprechend gefixter Versionen besondere Vorsicht im Umgang mit bzip2-komprimierten Dateien (übliche Dateiendung .bz2) walten lassen.

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.


Informationsquelle(n):

Kurzinfo CB-K19/053 von CERT-BUND
https://www.cert-bund.de/advisoryshort/CB-K19-0536
Meldung bei NIST NVD (englisch)
https://nvd.nist.gov/vuln/detail/CVE-2019-12900
Email: reports@cert.at
Tel.: +43 1 5056416 78
mehr ...
Kritische Schwachstelle in bzip2 - je nach Setup für RCE ausnutzbar
24. Juni 2019 | Beschreibung In ...
Kritische RCE Schwachstelle in Oracle WebLogic Server
19. Juni 2019 | Beschreibung | Mehrere ...
mehr ...
Zoom, Zoom, Zoom
9. Juli 2019 | In der ...
In eigener Sache: CERT.at sucht Verstärkung
2. Juli 2019 | Für unsere ...
mehr ...
Jahresbericht 2017
Ein Resumee zur digitalen Sicherheitslage in Österreich

(HTML, PDF).
Letzte Änderung: 2019/6/24 - 16:22:23
Haftungsausschluss / Datenschutzerklärung