Kritische Schwachstelle in bzip2 - je nach Setup für RCE ausnutzbar
24. Juni 2019
Es ist auch denkbar, dass entsprechende Dateien als Download angeboten werden.
Informationsquelle(n):
Kurzinfo CB-K19/053 von CERT-BUND
https://www.cert-bund.de/advisoryshort/CB-K19-0536
Meldung bei NIST NVD (englisch)
https://nvd.nist.gov/vuln/detail/CVE-2019-12900
Beschreibung
In der Kompressions-Software bzip2 gibt es eine Lücke, durch die sich in manchen Konfigurationen beliebiger Code mit den Rechten des Benutzers ausführen lässt.CVSS3 Score: 9.8 (laut NIST NVD)
CVE-Nummer: CVE-2019-12900
Auswirkungen
Angreifer müssen es schaffen, entsprechend präparierte komprimierte Dateien zur Dekompression zu bringen. Dies kann zB durch Versand solcher Dateien per Email geschehen - hier wären sowohl Antivirus-Software etc. auf Mailservern als auch Geräte der Empfänger (Email-Clients, Dateimanager etc.) gefährdet.Es ist auch denkbar, dass entsprechende Dateien als Download angeboten werden.
Betroffene Systeme
- Systeme, auf denen die Kompressions-/Dekompressions-Software bzip2 in Versionen bis inkl. 1.0.6 eingesetzt wird.
Abhilfe
Ein Update steht als Source Code zur Verfügung. Es ist auch davon auszugehen, dass die diversen Unix-/Linux-Distributionen bald entsprechende Pakete bereitstellen.Auf besonders gefährdeten Systemen - etwa Mailservern mit Antivirus-Filtern - kann bis dahin auch ein Deaktivieren des automatischen Auspackens von mit bzip2 komprimierten Dateien als Workaround dienen.
Endbenutzer sollten bis zum Einspielen entsprechend gefixter Versionen besondere Vorsicht im Umgang mit bzip2-komprimierten Dateien (übliche Dateiendung .bz2) walten lassen.
Hinweis
Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.
Informationsquelle(n):
Kurzinfo CB-K19/053 von CERT-BUND
https://www.cert-bund.de/advisoryshort/CB-K19-0536
Meldung bei NIST NVD (englisch)
https://nvd.nist.gov/vuln/detail/CVE-2019-12900