2025-0678: libxslt: Zwei Schwachstellen ermöglichen u. a. die Manipulation von Dateien

Historie:

Version 1 (2025-03-17 10:47): Neues Advisory
Version 2 (2025-03-24 08:23): Für Debian 12 Bookworm (stable) steht ein Sicherheitsupdate für 'libxslt' in Version 1.1.35-1+deb12u1 bereit, um die beiden Schwachstellen zu beheben. Für Fedora 40 und 41 sowie Fedora EPEL 9 stehen Sicherheitsupdates in Form von 'mingw-libxslt-1.1.43-1'-Paketen im Status 'testing' bereit, womit eine Aktualisierung auf Version 1.1.43 erfolgt, um die Schwachstellen zu beheben. Für Fedora EPEL 9 wird zusätzlich die ältere Schwachstelle CVE-2023-40403 unter den behobenen Bugs referenziert.
Version 3 (2025-03-24 13:28): Für Debian 11 Bullseye (LTS) steht ein Sicherheitsupdate für 'libxslt' in Version 1.1.34-4+deb11u2 bereit, um die beiden Schwachstellen zu beheben.
Version 4 (2025-04-07 15:37): Für Red Hat Enterprise Linux Server - Extended Life Cycle Support 7 (x86_64), Red Hat Enterprise Linux for x86_64 / ARM 64 8 (x86_64, aarch64), Red Hat Enterprise Linux for x86_64 / ARM 64 - Extended Update Support 8.8 (x86_64, aarch64), Red Hat Enterprise Linux for ARM 64 - 4 years of updates 9.0 (aarch64), Red Hat Enterprise Linux Server - AUS 8.2, 8.4 und 8.6 (x86_64) sowie Red Hat Enterprise Linux Server - TUS 8.4, 8.6 und 8.8 (x86_64) stehen Sicherheitsupdates für 'libxslt' bereit, um die Schwachstellen zu beheben.
Version 5 (2025-04-08 10:17): Für Oracle Linux 8 (x86_64, aarch64) stehen zu RHSA-2025:3615 korrespondierende Sicherheitsupdates für 'libxslt' bereit, um die beiden Schwachstellen zu beheben.
Version 6 (2025-04-22 09:34): Für Oracle Linux 9 (x86_64, aarch64) stehen Sicherheitsupdates für 'libxslt' bereit, um die Schwachstelle CVE-2024-55549 zu beheben.
Version 7 (2025-04-23 17:43): Für Red Hat Enterprise Linux Server - Extended Life Cycle Support 7 (x86_64) steht ein Sicherheitsupdate für 'libxslt' bereit, um die beiden Schwachstellen zu beheben.
Version 8 (2025-04-29 09:59): Für Oracle Linux 7 (x86_64) stehen Sicherheitsupdates bereit, mit denen die Schwachstellen in 'libxslt' adressiert werden.
Version 9 (2025-05-06 11:20): Für Oracle Linux 7 (x86_64) steht ein Sicherheitsupdate für 'libxslt' bereit, um die beiden Schwachstellen zu beheben.
Version 10 (2025-05-08 11:54): Für die SUSE Linux Enterprise Produkte High Performance Computing 12 SP5, Server 12 SP5, 12 SP5 LTSS und 12 SP5 LTSS Extended Security sowie Server for SAP Applications 12 SP5 stehen Sicherheitsupdates für 'libxslt' zur Behebung der beiden Schwachstellen bereit.
Version 11 (2025-05-14 15:34): Für Red Hat Enterprise Linux for x86_64 / ARM 64 10 (x86_64, aarch64), 4 years of updates 10.0 (x86_64, aarch64) und Extended Update Support 10.0 (x86_64, aarch64) stehen Sicherheitsupdates für 'libxslt' bereit, um die beiden Schwachstellen zu beheben.
Version 12 (2025-06-27 12:11): Für Oracle Linux 10 (x86_64, aarch64) stehen korrespondierende Sicherheitsupdates für 'libxslt' bereit, um die Schwachstellen zu beheben.

Betroffene Software

Systemsoftware

Betroffene Plattformen

Linux
Oracle

Beschreibung:

Ein Angreifer kann zwei Schwachstellen lokal ausnutzen, um Dateien zu manipulieren oder einen Denial-of-Service (DoS)-Angriff durchzuführen.

Für die Ausnutzung der Schwachstellen sind keine Privilegien erforderlich. Die erfolgreiche Ausnutzung beider Schwachstellen kann Einfluss auf andere Komponenten haben.

Fedora hat ein Sicherheitsupdate für Fedora 40 für 'libxslt' in Form des Pakets 'libxslt-1.1.43-1.fc40' im Status 'testing' veröffentlicht, um die Schwachstellen zu schließen.

Schwachstellen:

CVE-2024-55549

Schwachstelle in libxslt ermöglicht u. a. Denial-of-Service-Angriff

CVE-2025-24855