Ubuntu Linux: Entwickler patchen Denial-of-Service-Schwachstellen
Eine löcherige Programmbibliothek ermöglichte Remote-Angriffe auf mehrere Ubuntu-Versionen. Jetzt stehen Updates bereit.
- Olivia von Westernhagen
Das CERT des Deutschen Forschungsnetzes (DFN-CERT) warnt derzeit vor insgesamt sechs Schwachstellen in mehreren Long-Term-Support-(LTS)-Versionen von Ubuntu. Sie stecken ausnahmslos in libarchive, einer Programmbibliothek zum Archivieren beziehungsweise Komprimieren von Dateien.
Wie aus einem Sicherheitshinweis des Ubuntu-Entwicklerteams von Canonical hervorgeht, könnten vier der Schwachstellen von einem entfernten Angreifer missbraucht werden, um mittels speziell präparierter Archiv- oder XAR-Dateien einen Denial-of-Service-Zustand auf dem Zielsystem zu verursachen. Die zugeordneten CVE-Nummern CVE-2016-10209, CVE-2016-10349 und CVE-2016-10350 wurden bereits im April 2017 beziehungsweise im September 2017 (CVE-2017-14166) vergeben und die Schwachstellen im libarchive-Sourcecode bei GitHub zeitnah gefixt.
Über zwei weitere Schwachstellen (CVE-2017-14501 und CVE-2017-14503) könnten Angreifer laut Sicherheitshinweis Zugriff auf "vertrauliche Informationen" erlangen. Die libarchive-Entwickler schlossen sie erst vor ein paar Tagen.
Updates sind verfĂĽgbar
Die vier Denial-of-Service Schwachstellen betreffen Ubuntu 14.04 LTS und 16.04 LTS, die beiden weiteren stecken zusätzlich auch in 18.04 LTS. Nutzer beziehen die abgesicherten libarchive-Packages (3.1.2-7ubuntu2.6 für Version 14.04, 3.1.2-11ubuntu0.16.04.4 für 16.04 und 3.2.2-3.1ubuntu0.1 für 18.04) wie gewohnt via Update-Manager oder Konsole. Für 18.04 LTS steht außerdem eine neue Package-Version des GNOME Display Manager (gdm3) zur Verfügung, das eine (ausschließlich lokal ausnutzbare) Schwachstelle behebt.
(ovw)