Skip to main content
Skip table of contents

ISN 2024-04: Sicherheitslücke in Libuv

Erstveröffentlichung am 4. März 2024

CVSS 3.1: 7.3 (hoch)

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L

Zusammenfassung

In der in IGEL OS verwendeten Libuv Bibliothek wurde eine Sicherheitslücke entdeckt. Diese betrifft die folgenden IGEL-Produkte:

  • IGEL OS 12 (nur wenn die Firefox-App installiert ist)

  • IGEL OS 11

Details

Ein Sicherheitsproblem wurde in der Funktion uv_getaddrinfo in Libuv entdeckt. Dabei werden Hostnamen auf 256 Zeichen abgeschnitten, bevor getaddrinfo aufgerufen wird.

Ein Angreifer könnte dies ausnutzen, um Payloads zu erstellen, die auf unbeabsichtigte IP Adressen aufgelöst werden, wodurch Sicherheitsprüfungen umgangen werden könnten.

Das OS 12 Basissystem enthält Libuv, allerdings wird die Bibliothek nur genutzt, wenn die Firefox App installiert ist.

Update - Anweisungen

  • OS 12: Aktualisieren Sie auf OS 12 Basissystem Version 12.4.1, sobald diese verfügbar ist.

  • OS 11: IGEL arbeitet an einer OS 11 Version mit aktualisiertem Libuv.

Quellen

JavaScript errors detected

Please note, these errors can depend on your browser setup.

If this problem persists, please contact our support.