[Warning] Kritische Schwachstelle in bzip2 - je nach Setup für RCE ausnutzbar

Robert Waldner waldner at cert.at
Mon Jun 24 16:31:17 CEST 2019 

24. Juni 2019

Beschreibung

   In der Kompressions-Software bzip2 gibt es eine Lücke, durch die sich
   in manchen Konfigurationen beliebiger Code mit den Rechten des
   Benutzers ausführen lässt.

   CVSS3 Score: 9.8 (laut NIST NVD)
   CVE-Nummer: CVE-2019-12900

Auswirkungen

   Angreifer müssen es schaffen, entsprechend präparierte komprimierte
   Dateien zur Dekompression zu bringen. Dies kann zB durch Versand
   solcher Dateien per Email geschehen - hier wären sowohl
   Antivirus-Software etc. auf Mailservern als auch Geräte der Empfänger
   (Email-Clients, Dateimanager etc.) gefährdet.
   Es ist auch denkbar, dass entsprechende Dateien als Download
   angeboten werden.

Betroffene Systeme

     * Systeme, auf denen die Kompressions-/Dekompressions-Software
       bzip2 in Versionen bis inkl. 1.0.6 eingesetzt wird.

Abhilfe

   Ein Update steht als Source Code zur Verfügung. Es ist auch davon
   auszugehen, dass die diversen Unix-/Linux-Distributionen bald
   entsprechende Pakete bereitstellen.

   Auf besonders gefährdeten Systemen - etwa Mailservern mit
   Antivirus-Filtern - kann bis dahin auch ein Deaktivieren des
   automatischen Auspackens von mit bzip2 komprimierten Dateien als
   Workaround dienen.

   Endbenutzer sollten bis zum Einspielen entsprechend gefixter
   Versionen besondere Vorsicht im Umgang mit bzip2-komprimierten
   Dateien (übliche Dateiendung .bz2) walten lassen.

Hinweis

   Generell empfiehlt CERT.at, wo möglich die "automatisches
   Update"-Features von Software zu nutzen, parallel Firewall-Software
   aktiv und den Virenschutz aktuell zu halten.
     __________________________________________________________________

   Informationsquelle(n):
   Kurzinfo CB-K19/053 von CERT-BUND
   https://www.cert-bund.de/advisoryshort/CB-K19-0536
   Meldung bei NIST NVD (englisch)
   https://nvd.nist.gov/vuln/detail/CVE-2019-12900


-- 
// CERT Austria - Robert Waldner <waldner at cert.at>
// http://www.cert.at/ - T: +43 1 5056416 78
// Eine Initiative der nic.at GmbH
// http://www.nic.at/ - Firmenbuchnummer 172568b, LG Salzburg

-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 833 bytes
Desc: OpenPGP digital signature
URL: <http://lists.cert.at/pipermail/warning/attachments/20190624/19425d18/attachment.sig>

More information about the Warning mailing list