2021-0400: Stunnel: Eine Schwachstelle ermöglicht u. a. das Ausspähen von Informationen

Historie:

Version 1 (2021-02-23 10:42): Neues Advisory
Version 2 (2021-03-12 17:21): Für SUSE Linux Enterprise Module for Server Applications 15 SP2 steht ein Sicherheitsupdate für 'stunnel' bereit, um die Schwachstelle zu beheben.
Version 3 (2021-03-15 08:44): Für openSUSE Leap 15.2 steht ein Sicherheitsupdate für 'stunnel' zur Behebung der Schwachstelle und eines weiteren, nicht sicherheitsrelevanten Fehlers bereit.
Version 4 (2021-05-04 09:12): Für SUSE Manager Server 4.0, SUSE Manager Proxy 4.0, SUSE Linux Enterprise Server for SAP 15 und 15 SP1, SUSE Linux Enterprise Server 15 SP1 BCL / LTSS und 15 LTSS, SUSE Linux Enterprise High Performance Computing 15 SP1 ESPOS / LTSS und 15 ESPOS / LTSS sowie SUSE Enterprise Storage 6 und SUSE CaaS Platform 4.0 stehen Sicherheitsupdates bereit, um die Schwachstelle zu beheben.
Version 5 (2022-03-18 14:36): Für die Distributionen openSUSE Leap 15.3 und 15.4 sowie für SUSE Enterprise Storage 7, SUSE Linux Enterprise High Performance Computing 15 SP2 ESPOS / LTSS, 15 SP3 und 15 SP4, SUSE Linux Enterprise Module for Server Applications 15 SP3 und 15 SP4, SUSE Linux Enterprise Realtime Extension 15 SP2, SUSE Linux Enterprise Server 15 SP2 BCL / LTSS, 15 SP3 und 15 SP4, SUSE Linux Enterprise Server for SAP 15 SP2, SUSE Linux Enterprise Server for SAP Applications 15 SP3 und 15 SP4, SUSE Manager Proxy 4.1 und 4.2, SUSE Manager Retail Branch Server 4.1, SUSE Manager Server 4.1 und 4.2 stehen Sicherheitsupdates als Härtung bereit, um einen weiteren Bug im Kontext derselben Funktionalität zu beheben, der laut Angaben von SUSE aber vermutlich nicht ausgenutzt werden kann. Die Bug-ID wurde bereits in den früheren Sicherheitsupdates referenziert, der entsprechende Patch wurde aber bisher nicht berücksichtigt. Außerdem werden hiermit eine doppelte Freigabe von Speicher (Double Free) im Kontext von OpenSSL vor Version 1.1.0 adressiert und der Dienst 'systemd' gehärtet.
Version 6 (2024-07-18 15:59): Canonical stellt für Ubuntu 20.04 LTS und Ubuntu 18.04 ESM Sicherheitsupdates für 'stunnel4' bereit, um die Schwachstelle CVE-2021-20230 zu beheben.

Betroffene Software

Office
Server
Sicherheit

Betroffene Plattformen

Cloud
Linux
Oracle

Beschreibung:

Ein Angreifer kann eine Schwachstelle aus der Ferne ausnutzen, um Informationen auszuspähen. Für die Ausnutzung der Schwachstelle sind keine Privilegien erforderlich.

Für Red Hat Enterprise Linux 8, 8.1 Extended Update Support und 8.2 Extended Update Support sowie für Oracle Linux 8 stehen Sicherheitsupdates für 'stunnel' bereit, um diese Schwachstelle zu beheben.

Schwachstellen:

CVE-2021-20230

Schwachstelle in Stunnel ermöglicht u. a. Ausspähen von Informationen

SUSE-BUG-ID-1182529