ClickCease Debian-Sicherheitsaktualisierung behebt 5 Mosquitto-Verwundbarkeiten

Abonnieren Sie unseren beliebten Newsletter

Schließen Sie sich 4.500+ Linux- und Open-Source-Experten an!

2x im Monat. Kein Spam.

Debian-Sicherheitsaktualisierung behebt 5 Mosquitto-Verwundbarkeiten

Rohan Timalsina

13. Oktober 2023. TuxCare-Expertenteam

Das Debian-Team hat kürzlich eine Sicherheitsaktualisierung veröffentlicht, die fünf Verwundbarkeiten behebt, die in Mosquitto, einem Open-Source MQTT-kompatiblen Message Broker, entdeckt wurden. Diese Verwundbarkeiten haben das Potenzial, einen Denial-of-Service zu verursachen, wenn sie ausgenutzt werden.

Hier besprechen wir die CVEs, den Schweregrad, die Ursachen und die Risiken der Mosquitto-Schwachstellen.

 

Fünf Mosquitto-Schwachstellen gepatcht

CVE-2021-34434

CVSS 3.x Wertung: 5.3 Mittel

Wenn das dynamische Sicherheits-Plugin in Eclipse Mosquitto verwendet wird und ein Client die Möglichkeit verliert, ein Thema zu abonnieren, wenn ein dauerhafter Client offline ist, werden alle bestehenden Abonnements für diesen Client nicht widerrufen.

CVE-2023-0809

CVSS 3.x-Score: Nicht von NVD analysiert

Es wurde festgestellt, dass in Mosquitto vor Version 2.0.16 aufgrund von bösartigen Anfangspaketen, die keine CONNECT-Pakete sind, übermäßig viel Speicher zugewiesen wird.

CVE-2023-3592

CVSS 3.x Score: 5.8 Mittel

Ein Speicherleck wurde in Mosquitto entdeckt, wenn Clients v5 CONNECT-Pakete mit einer Will-Nachricht senden, die ungültige Eigenschaftstypen enthält.

CVE-2023-28366

CVSS 3.x Bewertung: 7.5 Hoch

Der Broker in Mosquitto enthielt ein Speicherleck, das aus der Ferne ausgenutzt werden kann, wenn ein Client mehrere Q0S 2-Nachrichten mit doppelten Nachrichten-IDs sendet und auf PUBREC-Befehle nicht reagiert. Das Problem entsteht durch die fehlerhafte Behandlung von EAGAIN-Fehlern der libc-Sendefunktion.

CVE-2021-41039

CVSS 3.x Bewertung: 7.5 Hoch

Ein Fehler wurde identifiziert, als ein MQTT v5-Client eine Verbindung mit vielen Benutzereigenschaften herstellte und eine übermäßige CPU-Auslastung verursachte, was zu Leistungseinbußen und möglichen DoS-Angriffen führte.

In der alten Stable-Distribution (Bullseye) wurden diese Probleme in der Version 2.0.11-1+deb11u1 behoben, und in der Stable-Distribution(Bookworm) wurden diese Probleme in der Version 2.0.11-1.2+deb12u1 behoben. Es wird dringend empfohlen, Ihre mosquitto-Pakete zu aktualisieren, um die mosquitto-Schwachstellen zu beheben und das damit verbundene Sicherheitsrisiko zu vermeiden.

 

Die Quellen für diesen Artikel sind im Debian Security Advisory zu finden.

Zusammenfassung
Debian-Sicherheitsaktualisierung behebt 5 Mosquitto-Verwundbarkeiten
Artikel Name
Debian-Sicherheitsaktualisierung behebt 5 Mosquitto-Verwundbarkeiten
Beschreibung
Entdecken Sie die neueste Debian-Sicherheitsaktualisierung, die fünf Mosquitto-Verwundbarkeiten behebt, die Speicherprobleme oder Denial-of-Service verursachen können.
Autor
Name des Herausgebers
TuxCare
Logo des Herausgebers

Möchten Sie das Patchen von Sicherheitslücken ohne Kernel-Neustart, Systemausfallzeiten oder geplante Wartungsfenster automatisieren?

Erfahren Sie mehr über Live-Patching mit TuxCare

Werden Sie ein TuxCare-Gastautor

Los geht's

E-Mail

Beitreten

4,500

Linux & Open Source
Fachleute!

Abonnieren Sie
unseren Newsletter