ISN 2024-04: Sicherheitslücke in Libuv
Erstveröffentlichung am 4. März 2024
CVSS 3.1: 7.3 (hoch)
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L
Zusammenfassung
In der in IGEL OS verwendeten Libuv Bibliothek wurde eine Sicherheitslücke entdeckt. Diese betrifft die folgenden IGEL-Produkte:
IGEL OS 12 (nur wenn die Firefox-App installiert ist)
IGEL OS 11
Details
Ein Sicherheitsproblem wurde in der Funktion uv_getaddrinfo in Libuv entdeckt. Dabei werden Hostnamen auf 256 Zeichen abgeschnitten, bevor getaddrinfo aufgerufen wird.
Ein Angreifer könnte dies ausnutzen, um Payloads zu erstellen, die auf unbeabsichtigte IP Adressen aufgelöst werden, wodurch Sicherheitsprüfungen umgangen werden könnten.
Das OS 12 Basissystem enthält Libuv, allerdings wird die Bibliothek nur genutzt, wenn die Firefox App installiert ist.
Update - Anweisungen
OS 12: Aktualisieren Sie auf OS 12 Basissystem Version 12.4.1, sobald diese verfügbar ist.
OS 11: IGEL arbeitet an einer OS 11 Version mit aktualisiertem Libuv.
Quellen
CVE-2024-24806: CVE-2024-24806