2017-0932: Oniguruma: Mehrere Schwachstellen ermöglichen u. a. verschiedene Denial-of-Service-Angriffe

Historie:

Version 1 (2017-05-31 12:19): Neues Advisory
Version 2 (2017-09-18 12:07): Für Fedora 25 steht ein weiteres Sicherheitsupdate in Form des Pakets 'oniguruma-6.1.3-3.fc25' im Status 'testing' bereit, um die Schwachstelle CVE-2017-9228 umfassender zu beheben. Das vorherige Sicherheitsupdate FEDORA-2017-60997f0d14 befindet sich im Status 'stable'.
Version 3 (2020-05-29 16:57): Für Fedora EPEL 7 steht ein Sicherheitsupdate in Form der Pakete 'oniguruma-6.8.2-1.el7' und 'jq-1.6-2.el7' im Status 'testing' bereit, um die Schwachstellen zu beheben.

Betroffene Software

Systemsoftware

Betroffene Plattformen

Linux

Beschreibung:

Mehrere Schwachstellen in Oniguruma ermöglichen einem entfernten Angreifer die Durchführung verschiedener Denial-of-Service (DoS)-Angriffe und möglicherweise das Ausspähen von Informationen und die Ausführung beliebigen Programmcodes mit Hilfe speziell präparierter regulärer Ausdrücke.

Der Hersteller behebt die Schwachstellen mit der Version Oniguruma 6.3.0. Oniguruma wird in Skriptsprachen wie Ruby oder PHP eingesetzt. Andere Anwendungen, die auf diese Sprachen zurückgreifen, sind möglicherweise ebenfalls angreifbar.

Für Fedora 24, 25 und 26 stehen Sicherheitsupdates in Form der Pakete 'oniguruma-5.9.6-4.fc24', 'oniguruma-6.1.3-2.fc25' und 'oniguruma-6.3.0-1.fc26' im Status 'testing' bereit.

Fedora 24 ist nicht von der Schwachstelle CVE-2017-9225 betroffen.

Schwachstellen:

CVE-2017-9224

Schwachstelle in Onigurama ermöglicht u. a. Denial-of-Service-Angriff

CVE-2017-9225

Schwachstelle in Oniguruma ermöglicht Ausführung beliebigen Programmcodes

CVE-2017-9226

Schwachstelle in Oniguruma ermöglicht Ausführung beliebigen Programmcodes

CVE-2017-9227

Schwachstelle in Oniguruma ermöglicht u. a. Denial-of-Service-Angriff

CVE-2017-9228

Schwachstelle in Oniguruma ermöglicht Denial-of-Service-Angriff

CVE-2017-9229