2025-1782: Mbed TLS: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2025-07-08 13:59): Neues Advisory
Version 2 (2025-07-11 11:29): Für Fedora EPEL 10.0 steht das Paket 'mbedtls-3.6.4-2' im Status 'testing' bereit, um die Schwachstellen zu beheben.

Betroffene Software

Sicherheit
Systemsoftware

Betroffene Plattformen

Linux

Beschreibung:

Ein Angreifer kann zwei Schwachstellen aus der Ferne ausnutzen, um Sicherheitsvorkehrungen zu umgehen und einen Denial-of-Service (DoS)-Angriff durchzuführen. Zudem kann ein Angreifer mehrere Schwachstellen lokal ausnutzen, um Informationen auszuspähen, beliebigen Programmcode auszuführen und einen Denial-of-Service (DoS)-Angriff durchzuführen.

Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich. Die erfolgreiche Ausnutzung einer Schwachstelle kann Einfluss auf andere Komponenten haben.

Der Hersteller informiert über die Schwachstellen und stellt Mbed TLS in Version 3.6.4 als Sicherheitsupdate bereit, um die Schwachstellen zu beheben.

Für Fedora 42 und Fedora EPEL 10.1 stehen die Pakete 'mbedtls-3.6.4-1.fc42' im Status 'stable' bzw. 'mbedtls-3.6.4-2.el10.1' im Status 'testing' als Sicherheitsupdates bereit.

Schwachstellen:

CVE-2025-47917

Schwachstelle in Mbed TLS ermöglicht Ausführen beliebigen Programmcodes

CVE-2025-48965

Schwachstelle in Mbed TLS ermöglicht Denial-of-Service-Angriff

CVE-2025-49087

Schwachstelle in Mbed TLS ermöglicht Ausspähen von Informationen

CVE-2025-49600

Schwachstelle in Mbed TLS ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2025-49601

Schwachstelle in Mbed TLS ermöglicht u. a. Denial-of-Service-Angriff

CVE-2025-52496

Schwachstelle in Mbed TLS ermöglicht u. a. Ausspähen von Informationen

CVE-2025-52497