2021-1693: c-ares: Mehrere Schwachstellen ermöglichen u. a. einen Cross-Site-Scripting-Angriff
Historie:
- Version 1 (2021-08-10 16:43)
- Neues Advisory
- Version 2 (2021-08-10 17:17)
- Canonical stellt für Ubuntu 21.04, Ubuntu 20.04 LTS und Ubuntu 18.04 LTS Sicherheitsupdates für 'c-ares' bereit, womit explizit die Schwachstelle CVE-2021-3672 adressiert wird.
- Version 3 (2021-08-10 19:09)
- Für SUSE Linux Enterprise Server 11 SP4 LTSS und SUSE Linux Enterprise Debuginfo 11 SP4 stehen Sicherheitsupdates für 'libcares2' bzw. 'c-ares' bereit, mit denen explizit wiederum die Schwachstelle CVE-2021-3672 adressiert wird.
- Version 4 (2021-08-11 11:35)
- Canonical veröffentlicht für Ubuntu 16.04 ESM ebenfalls ein Sicherheitsupdate für 'c-ares' zur Behebung der Schwachstelle CVE-2021-3672. Für Fedora 33 und 34 stehen Sicherheitsupdates in Form von 'mingw-c-ares-1.17.2'-Paketen im Status 'testing' bereit.
Betroffene Software
Systemsoftware
Betroffene Plattformen
Linux
Beschreibung:
Ein Angreifer kann eine Schwachstelle aus der Ferne ausnutzen, um einen Cross-Site-Scripting (XSS)-Angriff durchzuführen. Zudem kann ein Angreifer mehrere Schwachstellen lokal ausnutzen, um Sicherheitsvorkehrungen zu umgehen, Denial-of-Service (DoS)-Angriffe durchzuführen und falsche Informationen darzustellen. Für die Ausnutzung der Schwachstellen sind keine Privilegien erforderlich.
Der Hersteller informiert über die Schwachstellen und stellt zu deren Behebung c-ares in der Version 1.17.2 bereit.
Für Debian 9 Stretch (LTS) steht mit Version 1.12.0-1+deb9u2 des Pakets 'c-ares' ein Sicherheitsupdate zur Behebung der Schwachstelle CVE-2021-3672 zur Verfügung.
Schwachstellen:
C-ARES-1-17-2-A
Schwachstelle in c-ares ermöglicht Denial-of-Service-AngriffC-ARES-1-17-2-B
Schwachstelle in c-ares ermöglicht Umgehen von SicherheitsvorkehrungenC-ARES-1-17-2-C
Schwachstelle in c-ares ermöglicht Denial-of-Service-AngriffC-ARES-1-17-2-D
Schwachstelle in c-ares ermöglicht Denial-of-Service-AngriffC-ARES-1-17-2-E
Schwachstelle in c-ares ermöglicht Darstellen falscher InformationenCVE-2021-3672
Schwachstelle in c-ares ermöglicht Cross-Site-Scripting-Angriff
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.