2022-0033: uriparser: Zwei Schwachstellen ermöglichen Denial-of-Service-Angriffe

Historie:

Version 1 (2022-01-10 10:13): Neues Advisory
Version 2 (2022-01-17 14:19): Für Debian 9 Stretch (LTS) steht ein Sicherheitsupdate für 'uriparser' in Version 0.8.4-1+deb9u3 bereit, um die beiden Schwachstellen zu beheben.
Version 3 (2022-01-27 09:17): Die Fehlerbehebung für CVE-2021-46141 hat sich als unvollständig herausgestellt. Für Debian 9 Stretch (LTS) steht ein Sicherheitsupdate für 'uriparser' in Version 0.8.4-1+deb9u4 bereit, um die Schwachstelle zu beheben.
Version 4 (2022-01-27 10:08): Für Debian 10 Buster (oldstable) steht die Version 0.9.1-1+deb10u1 und für Debian 11 Bullseye (stable) steht die Version 0.9.4+dfsg-1+deb11u1 von 'uriparser' bereit, um die beiden Schwachstellen zu beheben.
Version 5 (2022-07-13 14:22): Für Ubuntu 18.04 LTS steht ein Sicherheitsupdate für 'uriparser' zur Verfügung.
Version 6 (2023-01-12 10:29): Für Fedora EPEL 8 steht ein Sicherheitsupdate in Form des Pakets 'uriparser-0.9.7-1.el8' im Status 'testing' bereit, um die Schwachstellen zu beheben.

Betroffene Software

Entwicklung
Systemsoftware

Betroffene Plattformen

Linux

Beschreibung:

Ein Angreifer kann zwei Schwachstellen lokal ausnutzen, um Denial-of-Service (DoS)-Angriffe durchzuführen. Für die Ausnutzung der Schwachstellen sind keine Privilegien erforderlich.

Für Fedora 34 und 35 stehen Sicherheitsupdates in Form der Pakete 'mingw-uriparser-0.9.6-1.fc34', 'uriparser-0.9.6-1.fc34', 'mingw-uriparser-0.9.6-1.fc35' und 'uriparser-0.9.6-1.fc35' in Status 'testing' bereit, um die Schwachstellen zu beheben.

Schwachstellen:

CVE-2021-46141

Schwachstelle in uriparser ermöglicht Denial-of-Sevice-Angriff

CVE-2021-46142