2021-2475: NetCDF, ezXML: Mehrere Schwachstellen ermöglichen u. a. Denial-of-Service-Angriffe

Historie:

Version 1 (2021-11-26 14:55): Neues Advisory
Version 2 (2021-11-26 16:57): Das Sicherheitsupdate zur Behebung der Schwachstellen in 'netcdf' steht auch für openSUSE Leap 15.2 zur Verfügung.
Version 3 (2021-11-30 17:04): Für SUSE Linux Enterprise High Performance Computing 15 SP1 ESPOS / LTSS und openSUSE Leap 15.3 stehen Sicherheitsupdates für 'netcdf' zur Behebung der Schwachstellen zur Verfügung.
Version 4 (2021-12-02 17:35): Für SUSE Linux Enterprise Module for Packagehub Subpackages 15 SP3, SUSE Linux Enterprise Module for HPC 15 SP3 und openSUSE Leap 15.3 stehen Sicherheitsupdates für 'netcdf' zur Behebung der Schwachstellen zur Verfügung.

Betroffene Software

Office
Systemsoftware

Betroffene Plattformen

Linux

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen in ezXML aus der Ferne ausnutzen, um verschiedene Denial-of-Service (DoS)-Angriffe durchzuführen und möglicherweise weitere Angriffe durchzuführen.

Für die Ausnutzung der Schwachstellen sind keine Privilegien erforderlich. Die meisten Schwachstellen erfordern die Interaktion eines Benutzers, wenn Eingangsdaten nicht automatisiert verarbeitet werden.

Für openSUSE Leap 15.3, SUSE Linux Enterprise High Performance Computing 15 LTSS und 15 ESPOS sowie SUSE Linux Enterprise Module for HPC 15 SP2 stehen Sicherheitsupdates für 'netcdf' zur Behebung der Schwachstellen bereit. SUSE weist darauf hin, dass der durch CVE-2021-26220 verwundbare Programmcode in 'netcdf' nicht eingesetzt wird. Darüber hinaus kann die Schwachstelle CVE-2019-20005 kann laut SUSE nicht reproduziert werden und es gibt keinen Patch des Herstellers.