ClickCease La actualización de seguridad de Debian soluciona 5 vulnerabilidades de Mosquitto

Únase a nuestro popular boletín

Únase a más de 4.500 profesionales de Linux y el código abierto.

2 veces al mes. Sin spam.

La actualización de seguridad de Debian soluciona 5 vulnerabilidades de Mosquitto

Rohan Timalsina

13 de octubre de 2023 - Equipo de expertos TuxCare

El equipo de Debian ha publicado recientemente una actualización de seguridad que soluciona cinco vulnerabilidades descubiertas en Mosquitto, un gestor de mensajes de código abierto compatible con MQTT. Estas vulnerabilidades tienen el potencial de causar una denegación de servicio cuando son explotadas.

Aquí, discutiremos los CVEs, la puntuación de gravedad, las causas y los riesgos de las vulnerabilidades mosquitto.

 

Parcheadas cinco vulnerabilidades de Mosquitto

CVE-2021-34434

Puntuación CVSS 3.x: 5.3 Media

Cuando se utiliza el plugin de seguridad dinámica en Eclipse Mosquitto, si un cliente pierde la capacidad de suscribirse a un tema cuando un cliente duradero está fuera de línea, las suscripciones existentes para ese cliente no se revocan.

CVE-2023-0809

Puntuación CVSS 3.x: No analizado por NVD

Se ha descubierto que se asigna excesiva memoria en Mosquitto antes de la versión 2.0.16 basándose en paquetes iniciales maliciosos que no son paquetes CONNECT.

CVE-2023-3592

Puntuación CVSS 3.x: 5.8 Media

Se ha descubierto un problema de pérdida de memoria en Mosquitto cuando los clientes envían paquetes CONNECT v5 con un mensaje will que contiene tipos de propiedades no válidos.

CVE-2023-28366

Puntuación CVSS 3.x: 7,5 Alta

El broker en Mosquitto contenía una vulnerabilidad de fuga de memoria que puede ser explotada remotamente cuando un cliente envía múltiples mensajes Q0S 2 con IDs de mensaje duplicados y falla al responder a comandos PUBREC. El problema surge debido a la mala gestión de los errores EAGAIN de la función libc send.

CVE-2021-41039

Puntuación CVSS 3.x: 7,5 Alta

Se identificó un fallo cuando un cliente MQTT v5 se conectaba con muchas propiedades de usuario y provocaba un uso excesivo de la CPU, lo que provocaba una pérdida de rendimiento y posibles ataques DoS.

En la antigua distribución estable (bullseye), estos problemas se han resuelto en la versión 2.0.11-1+deb11u1, y en la distribución estable(bookworm), estos problemas se han resuelto en la versión 2.0.11-1.2+deb12u1. Se recomienda encarecidamente actualizar los paquetes de mosquitto para solucionar las vulnerabilidades de mosquitto y evitar el riesgo de seguridad asociado.

 

Las fuentes de este artículo pueden encontrarse en el aviso de seguridad de Debian.

Resumen
La actualización de seguridad de Debian soluciona 5 vulnerabilidades de Mosquitto
Nombre del artículo
La actualización de seguridad de Debian soluciona 5 vulnerabilidades de Mosquitto
Descripción
Descubra la última actualización de seguridad de Debian que soluciona cinco vulnerabilidades de Mosquitto que podrían causar problemas de memoria o denegación de servicio.
Autor
Nombre del editor
TuxCare
Logotipo de la editorial

¿Desea automatizar la aplicación de parches de vulnerabilidad sin reiniciar el núcleo, dejar el sistema fuera de servicio o programar ventanas de mantenimiento?

Más información sobre Live Patching con TuxCare

Conviértete en escritor invitado de TuxCare

Empezar

Correo

Únete a

4,500

Profesionales de Linux y código abierto

Suscríbase a
nuestro boletín