1.4 Aktiv ausgenutzte Lücken
Betriebssysteme, Endpoint, Distros

Fedora

Betriebssysteme, Endpoint, Distros

Fedora gehört zur Kategorie „Betriebssysteme, Endpoint, Distros". xonatec überwacht Fedora kontinuierlich auf neue Sicherheitslücken, priorisiert jede Meldung nach aktiver Ausnutzung (KEV), Ausnutzungswahrscheinlichkeit (EPSS) und Schweregrad (CVSS) Im zugeschnittenen Bericht erhalten Sie ausschliesslich die Meldungen, die dieses Produkt betreffen.

21
Reports
1
Aktiv ausgenutzt
Kritisch
Höchste Priorität
52.1%
Max. EPSS

Schwachstellen-Reports

21 Reports

Zeige 1 bis 21 von 21

  1. Linux Kernel – Improper Authentication in cgroup_release_agent_write

    CVE-2022-0492 Hoch Aktiv ausgenutzt

    Im Linux-Kernel wurde in der Funktion cgroup_release_agent_write (kernel/cgroup/cgroup-v1.c) eine Schwachstelle durch fehlerhafte Authentifizierung identifiziert, die unter bestimmten Umständen den Missbrauch des release_agent-Mechanismus von cgroups v1 erlaubt. CVSS-Basiswert: 7.8 (Hoch), Vektor CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H – die Ausnutzung setzt lokalen Zugriff mit niedrigen Rechten voraus, wirkt sich dann aber auf Vertraulichkeit, Integrität und Verfügbarkeit voll aus. Wird laut CISA KEV aktiv ausgenutzt; Aufnahme in den KEV-Katalog am 2026-06-02. Ausnutzungswahrscheinlichkeit (EPSS): 28.1 %. Die Schwachstelle betrifft eine breite Palette von Distributionen und Appliances, die den Linux-Kernel einsetzen – darunter Debian, Ubuntu, Fedora, Rocky Linux, Amazon Linux und Oracle Linux sowie Storage- und Applikationsplattformen von NetApp, IBM, HPE, Pure Storage und SAP.

    CVSS: 7.8 EPSS: 28.12% Publiziert: Referenz: CISA KEV
  2. zlib – Heap-Buffer-Over-Read in inflate (grosses gzip-Extra-Feld)

    CVE-2022-37434 Kritisch

    In der weit verbreiteten Kompressionsbibliothek zlib (bis einschliesslich Version 1.2.12) besteht in der Funktion inflate (inflate.c) ein heap-basiertes Buffer-Over-Read beziehungsweise ein Pufferüberlauf, der über ein grosses Extra-Feld im gzip-Header ausgelöst wird. Betroffen sind ausschliesslich Anwendungen, die inflateGetHeader aufrufen. Da zlib in zahlreiche Produkte eingebettet ist, führen mehrere Hersteller (unter anderem ABB, NetApp, Rockwell Automation, Node.js und Apple) eigene Advisories. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 16.0 %. Laut ABB PSIRT sind 2 Produkt(e) betroffen, 0 mit Fix. Empfohlene Massnahme: betroffene Komponenten gemäss den jeweiligen Hersteller-Advisories auf eine korrigierte zlib-Version aktualisieren.

    CVSS: 9.8 EPSS: 16.00% Publiziert: Referenz: ABB PSIRT CSAF
  3. Mbed TLS: Heap-Buffer-Overflow und Over-Read in DTLS mit Connection ID

    CVE-2022-46393 Kritisch

    In Mbed TLS vor 2.28.2 sowie in den 3.x-Versionen vor 3.3.0 wurde ein Problem in der DTLS-Verarbeitung gefunden. Bei aktiviertem MBEDTLS_SSL_DTLS_CONNECTION_ID kann es zu einem Heap-basierten Buffer Overflow und zu einem Heap-basierten Buffer Over-Read kommen. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.9 %. Empfohlene Massnahme: auf Mbed TLS 2.28.2 bzw. 3.3.0 oder neuer aktualisieren.

    CVSS: 9.8 EPSS: 0.92% Publiziert: Referenz: NVD
  4. CVE-2022-23303 – Seitenkanal-Angriff auf SAE in hostapd/wpa_supplicant

    CVE-2022-23303 Kritisch

    Die SAE-Implementierungen (Simultaneous Authentication of Equals) in hostapd vor Version 2.10 und in wpa_supplicant vor Version 2.10 sind aufgrund ihrer Cache-Zugriffsmuster anfällig für Seitenkanal-Angriffe. Über die dabei beobachtbaren Muster lassen sich Rückschlüsse ziehen, die die Sicherheit des Authentifizierungsverfahrens untergraben. CVSS-Basiswert: 9.8 (Kritisch). Empfohlene Massnahme: auf hostapd bzw. wpa_supplicant in Version 2.10 oder neuer aktualisieren.

    CVSS: 9.8 Publiziert: Referenz: NVD
  5. EAP-pwd in hostapd/wpa_supplicant: Seitenkanalangriff über Cache-Zugriffsmuster

    CVE-2022-23304 Kritisch

    Die EAP-pwd-Implementierungen in hostapd vor Version 2.10 und in wpa_supplicant vor Version 2.10 sind aufgrund von Cache-Zugriffsmustern für Seitenkanalangriffe anfällig. Als betroffener Hersteller ist Fedora ausgewiesen. CVSS-Basiswert: 9.8 (Kritisch). Eine Ausnutzungswahrscheinlichkeit (EPSS) liegt nicht in den Quelldaten vor.

    CVSS: 9.8 Publiziert: Referenz: NVD
  6. zlib – Speicherbeschädigung beim Komprimieren (deflate) vor Version 1.2.12

    CVE-2018-25032 Hoch

    In der Kompressionsbibliothek zlib besteht vor Version 1.2.12 eine Schwachstelle, die beim Komprimieren (deflate) zu Speicherbeschädigung führen kann, wenn die Eingabe viele weit entfernte Übereinstimmungen (distant matches) enthält. Betroffen sind zahlreiche Produkte und Distributionen, die zlib einbetten. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 52.1 %. Empfohlene Massnahme: auf zlib 1.2.12 oder eine vom jeweiligen Hersteller bereitgestellte korrigierte Version aktualisieren.

    CVSS: 7.5 EPSS: 52.06% Publiziert: Referenz: NVD
  7. Mbed TLS: Buffer Overflow

    CVE-2023-43615 Hoch

    Mbed TLS 2.x vor Version 2.28.5 und 3.x vor Version 3.5.0 weisen einen Buffer Overflow auf. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: auf Mbed TLS 2.28.5 bzw. 3.5.0 oder neuer aktualisieren.

    CVSS: 7.5 EPSS: 0.31% Publiziert: Referenz: NVD
  8. Mbed TLS – Fehlerhafte Behandlung von Shared Memory in der PSA-Crypto-API

    CVE-2024-28960 Hoch

    In Mbed TLS (2.18.0 bis vor 2.28.8 sowie 3.x vor 3.6.0) und Mbed Crypto behandelt die PSA-Crypto-API gemeinsam genutzten Speicher (Shared Memory) fehlerhaft. CVSS-Basiswert: 8.2 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %. Empfohlene Massnahme: Auf Mbed TLS 2.28.8 bzw. 3.6.0 oder neuer aktualisieren.

    CVSS: 8.2 EPSS: 0.15% Publiziert: Referenz: NVD
  9. libreport/ABRT: Symlink-Following in Event-Handler-Skripten

    CVE-2026-54230 Hoch

    In den post-create-Event-Handler-Skripten von ABRT in libreport wurde eine Symlink-Following-Schwachstelle gefunden. Die Event-Skripte schreiben Ausgabedateien über Shell-Umleitungen ohne das O_NOFOLLOW-Flag. CVSS-Basiswert: 7.0 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %. Empfohlene Massnahme: aktualisierte Pakete der jeweiligen Distribution einspielen.

    CVSS: 7.0 EPSS: 0.14% Publiziert: Referenz: NVD
  10. Mbed TLS – Richtlinienumgehung / orakelbasierte Entschlüsselung

    CVE-2021-45450 Hoch

    In Mbed TLS vor 2.28.0 und 3.x vor 3.1.0 erlauben psa_cipher_generate_iv und psa_cipher_encrypt eine Richtlinienumgehung oder eine orakelbasierte Entschlüsselung, wenn der Ausgabepuffer an einem für einen Angreifer zugänglichen Speicherort liegt. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %. Empfohlene Massnahme: auf eine korrigierte Version aktualisieren bzw. Distributions-Updates einspielen.

    CVSS: 7.5 EPSS: 0.11% Publiziert: Referenz: NVD
  11. Lokale Rechteausweitung über Lua-Bytecode in libinput (Fedora)

    CVE-2026-35093 Hoch

    In libinput wurde ein Fehler gefunden. Ein lokaler Angreifer, der eine speziell gestaltete Lua-Bytecode-Datei in bestimmten System- oder Benutzer-Konfigurationsverzeichnissen platzieren kann, kann Sicherheitsbeschränkungen umgehen. CVSS-Basiswert: 8.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 8.8 EPSS: 0.02% Publiziert: Referenz: NVD
  12. OpenSSH Row-Hammer Authentication Bypass

    CVE-2023-51767 Hoch

    In OpenSSH (bis Version 10.0) kann bei bestimmten DRAM-Typen ein Row-Hammer-Angriff ermöglicht werden, der eine Umgehung der Authentifizierung erlaubt, da der Integer-Wert „authenticated” im Prozess mm_answer_authpassword nicht ausreichend gegen Bit-Flip-Angriffe geschützt ist. CVSS-Basiswert: 7.0 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 7.0 EPSS: 0.01% Publiziert: Referenz: NVD
  13. OpenSSH sshd: Rechteausweitung durch nicht initialisierte Supplemental Groups

    CVE-2021-41617 Hoch

    sshd in OpenSSH 6.2 bis vor 8.8 erlaubt bei bestimmten nicht standardmässigen Konfigurationen eine Rechteausweitung, weil supplemental groups nicht wie erwartet initialisiert werden. Betroffen sind Hilfsprogramme, die von sshd ausgeführt werden. CVSS-Basiswert: 7.0 (Hoch). Empfohlene Massnahme: Aktualisierung auf OpenSSH 8.8 oder neuer.

    CVSS: 7.0 Publiziert: Referenz: NVD
  14. PolarSSL / ARM mbed TLS: Heap-based Buffer Overflow (Denial of Service)

    CVE-2015-5291 Mittel

    Ein Heap-basierter Pufferüberlauf in PolarSSL 1.x vor 1.2.17 sowie in ARM mbed TLS (vormals PolarSSL) 1.3.x vor 1.3.14 und 2.x vor 2.1.2 erlaubt entfernten SSL-Servern, einen Denial of Service (Client-Absturz) zu verursachen. CVSS-Basiswert: 6.8 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 2.0 %. Empfohlene Massnahme: die von den jeweiligen Distributoren bereitgestellten Aktualisierungen einspielen.

    CVSS: 6.8 EPSS: 2.05% Publiziert: Referenz: NVD
  15. ARM mbed TLS (PolarSSL): Heap-basierter Pufferüberlauf

    CVE-2015-8036 Mittel

    In ARM mbed TLS (ehemals PolarSSL) 1.3.x vor 1.3.14 und 2.x vor 2.1.2 besteht ein heap-basierter Pufferüberlauf, über den entfernte SSL-Server einen Denial of Service (Absturz des Clients) verursachen und möglicherweise beliebigen Code ausführen können. Als betroffen ausgewiesen sind Debian (DSA), Amazon Linux (ALAS), Oracle Linux (ELSA), Rocky Linux, Fedora und SUSE/openSUSE. CVSS-Basiswert: 6.8 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 1.4 %. Empfohlene Massnahme: auf eine korrigierte Version aktualisieren bzw. die Distributions-Updates einspielen.

    CVSS: 6.8 EPSS: 1.44% Publiziert: Referenz: NVD
  16. GNU C Library (glibc): Use-after-free in getaddrinfo

    CVE-2023-4806 Mittel

    In der GNU C Library (glibc) wurde eine Schwachstelle identifiziert. In einer äusserst seltenen Situation kann die Funktion getaddrinfo auf bereits freigegebenen Speicher zugreifen, was zu einem Absturz der Anwendung führt. CVSS-Basiswert: 5.9 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 1.4 %. Empfohlene Massnahme: die von den betroffenen Herstellern und Distributionen bereitgestellte aktualisierte glibc-Version einspielen.

    CVSS: 5.9 EPSS: 1.44% Publiziert: Referenz: NVD
  17. Arm Mbed TLS / Mbed Crypto – Schwaches Blinding bei deterministischem ECDSA

    CVE-2019-16910 Mittel

    Arm Mbed TLS vor 2.19.0 und Arm Mbed Crypto vor 2.0.0 verwenden bei aktiviertem deterministischem ECDSA einen Zufallszahlengenerator mit unzureichender Entropie für das Blinding. Dadurch könnte ein Angreifer unter Umständen einen privaten Schlüssel rekonstruieren. CVSS-Basiswert: 5.3 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.7 %. Empfohlene Massnahme: auf Mbed TLS 2.19.0 bzw. Mbed Crypto 2.0.0 oder neuer aktualisieren, z. B. über die Distributions-Updates (Fedora, Debian, Amazon Linux, Oracle Linux, Rocky Linux).

    CVSS: 5.3 EPSS: 0.67% Publiziert: Referenz: NVD
  18. Mbed TLS – Seitenkanal durch präzise Informationen über Speicherzugriffe

    CVE-2022-46392 Mittel

    In Mbed TLS vor 2.28.2 und in 3.x vor 3.3.0 kann ein Angreifer mit Zugriff auf hinreichend präzise Informationen über Speicherzugriffe – typischerweise ein nicht vertrauenswürdiges Betriebssystem, das die Anwendung angreift – über einen Seitenkanal an sensible Informationen gelangen. CVSS-Basiswert: 5.3 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Empfohlene Massnahme: auf Mbed TLS 2.28.2 bzw. 3.3.0 oder neuer aktualisieren.

    CVSS: 5.3 EPSS: 0.23% Publiziert: Referenz: NVD
  19. Google Chrome DevTools – Unzureichende Richtliniendurchsetzung (Windows)

    CVE-2022-2160 Mittel

    In den DevTools von Google Chrome auf Windows wurde eine unzureichende Richtliniendurchsetzung festgestellt, die es einem Angreifer ermöglichen kann, über eine bösartige Erweiterung potenziell sensible Informationen zu erlangen. CVSS-Basiswert: 6.5 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %.

    CVSS: 6.5 EPSS: 0.21% Publiziert: Referenz: NVD
  20. libreport/ABRT: Content-Injection im post-create-Event-Handler

    CVE-2026-54231 Mittel

    In den post-create-Event-Handler-Skripten von ABRT in libreport wurde eine Content-Injection-Schwachstelle gefunden: Das Event-Skript fragt das systemd-Journal nach Log-Einträgen des abgestürzten Prozesses ab und schreibt diese weiter. Die Lücke ist lokal ausnutzbar und wirkt sich auf die Integrität aus. CVSS-Basiswert: 5.5 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %. Empfohlene Massnahme: die von der Distribution bereitgestellten Updates für libreport/ABRT einspielen.

    CVSS: 5.5 EPSS: 0.12% Publiziert: Referenz: NVD
  21. Arm Mbed TLS: Seitenkanal ermöglicht Wiederherstellung des ECDSA-Schlüssels

    CVE-2020-10932 Mittel

    In Arm Mbed TLS vor 2.16.6 und 2.7.x vor 2.7.15 kann ein Angreifer, der ausreichend präzise Seitenkanalmessungen durchführen kann, den langlebigen privaten ECDSA-Schlüssel wiederherstellen. CVSS-Basiswert: 4.7 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %. Empfohlene Massnahme: auf Mbed TLS 2.16.6 bzw. 2.7.15 oder neuer aktualisieren.

    CVSS: 4.7 EPSS: 0.04% Publiziert: Referenz: NVD

Diesem Produkt-Feed folgen

Eigener RSS-Feed nur für Fedora, kostenlos und ohne Anmeldung. Zustellung per E-Mail, Webhook, REST oder TAXII richten wir auf Anfrage ein.

RSS-Feed öffnen Zustellung anfragen

Wie folge ich dem Feed?

  • 1 RSS-Feed-Link kopieren oder direkt im RSS-Reader öffnen.
  • 2 Priorisierte Reports (KEV · EPSS · CVSS) landen automatisch in Ihrem Reader.
  • 3 Zustellung per E-Mail, Webhook, REST oder TAXII auf Anfrage einrichten lassen.
Zurück zum Katalog