2024-0695: Apptainer, container-tools, podman-tui: Zwei Schwachstellen ermöglichen Denial-of-Service-Angriffe

Historie:

Version 1 (2024-03-14 10:55): Neues Advisory
Version 2 (2024-03-18 08:02): Für Fedora 38 und 39 sowie Fedora 9 stehen Sicherheitsupdates in Form von 'podman-tui-0.18.0-1'-Paketen im Status 'testing' bereit, um die Schwachstellen zu beheben.
Version 3 (2024-03-22 07:51): Für Fedora 38 und 39 sowie Fedora 9 stehen Sicherheitsupdates in Form von 'podman-tui-1.0.0-1'-Paketen im Status 'testing' bereit, um die Schwachstellen zu beheben. Diese ersetzen die früheren Updates FEDORA-2024-abd8c551b8 (Fedora 38, podman-tui-0.18.0-1.fc38), FEDORA-2024-b360f4d2cb (Fedora 39, podman-tui-0.18.0-1.fc39) und EDORA-EPEL-2024-c23f6cf8c2 (Fedora EPEL 9, podman-tui-0.18.0-1.el9), die in den Status 'obsolete' überführt wurden (Referenzen hier entfernt).
Version 4 (2024-06-18 08:55): Für Red Hat Enterprise Linux for x86_64 / ARM 64 8 (x86_64, aarch64) stehen Sicherheitsupdates für das Modul 'container-tools:rhel8' bereit, um die beiden Schwachstellen in 'podman', 'buildah' und 'skopeo' zu beheben.
Version 5 (2024-06-19 08:55): Für Oracle Linux 8 (x86_64, aarch64) stehen korrespondierende Sicherheitsupdates für 'container-tools:ol8' bereit, um die Schwachstellen zu beheben.

Betroffene Software

Netzwerk
Systemsoftware
Virtualisierung

Betroffene Plattformen

Linux
Oracle

Beschreibung:

Ein Angreifer kann zwei Schwachstellen aus der Ferne ausnutzen, um Denial-of-Service (DoS)-Angriffe durchzuführen.

Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich.

Für Fedora 39 sowie Fedora EPEL 7, 8 und 9 stehen Sicherheitsupdates in Form von 'apptainer-1.3.0-1'-Paketen im Status 'testing' bereit, um die Schwachstellen zu beheben. Die Software wird damit auf die Version 1.3.0 aktualisiert.

Schwachstellen:

CVE-2024-28176

Schwachstelle in jose ermöglicht Denial-of-Service-Angriff

CVE-2024-28180