2023-1518: Yet Another JSON Library (YAJL): Mehrere Schwachstellen ermöglichen Denial-of-Service-Angriffe

Historie:

Version 1 (2023-07-03 11:06): Neues Advisory
Version 2 (2023-07-12 10:43): Debian veröffentlicht für Debian 10 Buster (LTS) erneut ein Sicherheitsupdate für 'yajl' jetzt in Version 2.1.0-3+deb10u2. Hiermit werden zwei weitere, hier ergänzte Schwachstellen behoben und der Fix, der über das Debian LTS Security Advisory DLA-3478-1 bereitgestellt wurde, um die Korrektur eines zunächst ignorierten Speicherfehlers ergänzt.
Version 3 (2023-07-19 10:20): Canonical veröffentlicht für Ubuntu 14.04 ESM, Ubuntu 16.04 ESM und Ubuntu 18.04 ESM Sicherheitsupdates für 'yajl' zur Behebung der referenzierten Schwachstellen.
Version 4 (2023-08-07 09:20): Für Debian 10 Buster (LTS) steht ein Sicherheitsupdate für 'burp' in Version 2.1.32-2+deb10u1 bereit, um die referenzierten Schwachstellen zu beheben.
Version 5 (2023-12-15 09:09): Canonical veröffentlicht korrespondierend zu USN-6233-1 für Ubuntu 23.04, Ubuntu 22.04 LTS und Ubuntu 20.04 LTS Sicherheitsupdates für 'yajl' zur Behebung der referenzierten Schwachstellen.

Betroffene Software

Systemsoftware

Betroffene Plattformen

Linux

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um verschiedene Denial-of-Service (DoS)-Angriffe durchzuführen.

Für die Ausnutzung der Schwachstellen sind keine Privilegien erforderlich. Eine Schwachstelle erfordert die Interaktion eines Benutzers.

Für Debian 10 Buster (LTS) steht ein Sicherheitsupdate für 'yajl' in Version 2.1.0-2+deb10u1 bereit, um die Schwachstelle CVE-2023-33460 zu adressieren.

Schwachstellen:

CVE-2017-16516

Schwachstelle in yajl-ruby ermöglicht Denial-of-Service-Angriff

CVE-2022-24795

Schwachstelle in Yet Another JSON Library (YAJL) ermöglicht Denial-of-Service-Angriff

CVE-2023-33460