2022-0897: CuraEngine, stb, Universal Scene Description (USD): Mehrere Schwachstellen ermöglichen u. a. Denial-of-Service-Angriffe

Historie:

Version 1 (2022-04-21 14:18): Neues Advisory
Version 2 (2022-04-25 13:58): Das Fedora-Projekt hat seine Sicherheitsupdates bezüglich stb um die Information aktualisiert, dass die zwei zusätzlich Schwachstellen CVE-2022-28042 und CVE-2022-28048 durch den Patch für die Schwachstelle CVE-2022-28041 in den bereits veröffentlichten Paketen ebenfalls behoben werden. Außerdem stehen für Fedora 34 und 35 die Pakete 'CuraEngine-4.13.1-2.fc34' und 'CuraEngine-4.13.1-2.fc35' als Sicherheitsupdates für CuraEngine und 'usd-21.11-11.fc35' als Sicherheitsupdate für 'Universal Scene Description (USD)' im Status 'testing' bereit, um die Schwachstellen zu beheben.

Betroffene Software

Entwicklung
Office

Betroffene Plattformen

Linux

Beschreibung:

Ein Angreifer kann zwei Schwachstellen aus der Ferne ausnutzen, um einen Denial-of-Service (DoS)-Angriff und möglicherweise weitere Angriffe durchzuführen. Zudem kann ein Angreifer eine Schwachstelle lokal ausnutzen, um einen Denial-of-Service (DoS)-Angriff durchzuführen.

Für die Ausnutzung der Schwachstellen sind keine Privilegien erforderlich. Alle Schwachstellen erfordern die Interaktion eines Benutzers.

Für Fedora 34 und 35 sowie Fedora EPEL 7, 8 und 9 stehen Sicherheitsupdates in Form der Pakete 'stb-0^20210910gitaf1a5bc-0.2.fc34', 'stb-0^20210910gitaf1a5bc-0.2.fc35', 'stb-0-0.8.20211022gitaf1a5bc.el7', 'stb-0-0.8.20211022gitaf1a5bc.el8' und 'stb-0^20210910gitaf1a5bc-0.2.el9' im Status 'testing' bereit, um die Schwachstellen zu beheben.

Schwachstellen:

CVE-2022-28041

Schwachstelle in stb ermöglicht Denial-of-Service-Angriff

CVE-2022-28042

Schwachstelle in stb ermöglicht u. a. Denial-of-Service-Angriff

CVE-2022-28048