ISN 2025-18: Kritische Sicherheitslücke in Libsoup

Erstveröffentlichung: 26. Mai 2025

CVSS 3.1: 9.0 (Kritisch)

CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H

Zusammenfassung

In Libsoup, einer in IGEL OS verwendeten HTTP-Client/Server-Bibliothek, wurden Sicherheitslücken entdeckt. Betroffen sind die folgenden Produktversionen:

• IGEL OS 12

• IGEL OS 11

Details

In libsoup wurden mehrere Sicherheitslücken gefunden. CVE-2025-32911 wird als kritisch eingestuft und betrifft eine Use-after-free-Schwachstelle in der Behandlung von HTTP-Headern, die ein entfernter Angreifer nutzen könnte, um Speicherschäden im HTTP-Server zu verursachen.

Die Schwachstellen CVE-2025-32906 und CVE-2025-32914 werden als hoch eingestuft und beschreiben Out-of-bounds-Reads, die den HTTP-Server zum Absturz bringen können. Ein libsoup-Client oder -Server könnte auch durch eine NULL-Zeiger-Dereferenz zum Absturz gebracht werden (CVE-2025-32913, hoch).

Update-Anweisungen

• OS 12: Aktualisieren Sie auf OS 12.7.0, sobald diese Version verfügbar ist (geplant für den 4. Juni).

• OS 11: Aktualisieren Sie auf OS 11.10.310, sobald diese Version verfügbar ist (geplant für den 4. Juni).

Quellen

• CVE-2025-32911: https://www.cve.org/CVERecord?id=CVE-2025-32911

• CVE-2025-32906: https://www.cve.org/CVERecord?id=CVE-2025-32906

• CVE-2025-32914: https://www.cve.org/CVERecord?id=CVE-2025-32914

• CVE-2025-32913: https://www.cve.org/CVERecord?id=CVE-2025-32913