ClickCease La mise à jour de sécurité de Debian corrige 5 vulnérabilités de Mosquitto

Rejoignez notre populaire bulletin d'information

Rejoignez 4 500+ professionnels de Linux et de l'Open Source !

2 fois par mois. Pas de spam.

La mise à jour de sécurité de Debian corrige 5 vulnérabilités de Mosquitto

Rohan Timalsina

13 octobre 2023 - L'équipe d'experts de TuxCare

L'équipe Debian a récemment publié une mise à jour de sécurité qui corrige cinq vulnérabilités découvertes dans Mosquitto, un courtier de messages open-source compatible MQTT. Ces vulnérabilités ont le potentiel de provoquer un déni de service lorsqu'elles sont exploitées.

Nous examinerons ici les CVE, le degré de gravité, les causes et les risques des vulnérabilités de mosquitto.

 

Cinq vulnérabilités de Mosquitto corrigées

CVE-2021-34434

Score CVSS 3.x : 5.3 Moyen

Lors de l'utilisation du plugin de sécurité dynamique dans Eclipse Mosquitto, si un client perd la possibilité de s'abonner à un sujet lorsqu'un client durable est hors ligne, les abonnements existants pour ce client ne sont pas révoqués.

CVE-2023-0809

Score CVSS 3.x : Non analysé par la NVD

Il a été constaté que Mosquitto avant la version 2.0.16 allouait une mémoire excessive sur la base de paquets initiaux malveillants qui ne sont pas des paquets CONNECT.

CVE-2023-3592

Score CVSS 3.x : 5.8 Moyen

Un problème de fuite de mémoire a été découvert dans Mosquitto lorsque les clients envoient des paquets v5 CONNECT avec un message will qui contient des types de propriétés invalides.

CVE-2023-28366

Score CVSS 3.x : 7.5 Élevé

Le courtier de Mosquitto contient une vulnérabilité de fuite de mémoire qui peut être exploitée à distance lorsqu'un client envoie plusieurs messages Q0S 2 avec des ID de message dupliqués et ne répond pas aux commandes PUBREC. Le problème est dû à une mauvaise gestion des erreurs EAGAIN de la fonction libc send.

CVE-2021-41039

Score CVSS 3.x : 7.5 Élevé

Une faille a été identifiée lorsqu'un client MQTT v5 s'est connecté avec de nombreuses propriétés d'utilisateur et a causé une utilisation excessive du processeur, ce qui a entraîné une perte de performance et des attaques DoS potentielles.

Dans l'ancienne distribution stable (bullseye), ces problèmes ont été résolus dans la version 2.0.11-1+deb11u1, et dans la distribution stable(bookworm), ces problèmes ont été résolus dans la version 2.0.11-1.2+deb12u1. Il est fortement recommandé de mettre à jour vos paquets mosquitto pour corriger les vulnérabilités de mosquitto et prévenir les risques de sécurité associés.

 

Les sources de cet article se trouvent sur l'avis de sécurité de Debian.

Résumé
La mise à jour de sécurité de Debian corrige 5 vulnérabilités de Mosquitto
Nom de l'article
La mise à jour de sécurité de Debian corrige 5 vulnérabilités de Mosquitto
Description
Découvrez la dernière mise à jour de sécurité de Debian qui corrige cinq vulnérabilités de Mosquitto pouvant causer des problèmes de mémoire ou des dénis de service.
Auteur
Nom de l'éditeur
TuxCare
Logo de l'éditeur

Vous cherchez à automatiser la correction des vulnérabilités sans redémarrage du noyau, temps d'arrêt du système ou fenêtres de maintenance programmées ?

Découvrez le Live Patching avec TuxCare

Devenez rédacteur invité de TuxCare

Commencer

Courrier

Rejoindre

4,500

Professionnels de Linux et de l'Open Source
!

S'abonner à
notre lettre d'information