Fedora
Fedora gehört zur Kategorie „Betriebssysteme, Endpoint, Distros". xonatec überwacht Fedora kontinuierlich auf neue Sicherheitslücken, priorisiert jede Meldung nach aktiver Ausnutzung (KEV), Ausnutzungswahrscheinlichkeit (EPSS) und Schweregrad (CVSS) Im zugeschnittenen Bericht erhalten Sie ausschliesslich die Meldungen, die dieses Produkt betreffen.
Schwachstellen-Reports
21 ReportsZeige 1 bis 21 von 21
-
Linux Kernel – Improper Authentication in cgroup_release_agent_write
CVE-2022-0492 Hoch Aktiv ausgenutztIm Linux-Kernel wurde in der Funktion cgroup_release_agent_write (kernel/cgroup/cgroup-v1.c) eine Schwachstelle durch fehlerhafte Authentifizierung identifiziert, die unter bestimmten Umständen den Missbrauch des release_agent-Mechanismus von cgroups v1 erlaubt. CVSS-Basiswert: 7.8 (Hoch), Vektor CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H – die Ausnutzung setzt lokalen Zugriff mit niedrigen Rechten voraus, wirkt sich dann aber auf Vertraulichkeit, Integrität und Verfügbarkeit voll aus. Wird laut CISA KEV aktiv ausgenutzt; Aufnahme in den KEV-Katalog am 2026-06-02. Ausnutzungswahrscheinlichkeit (EPSS): 28.1 %. Die Schwachstelle betrifft eine breite Palette von Distributionen und Appliances, die den Linux-Kernel einsetzen – darunter Debian, Ubuntu, Fedora, Rocky Linux, Amazon Linux und Oracle Linux sowie Storage- und Applikationsplattformen von NetApp, IBM, HPE, Pure Storage und SAP.
CVSS: 7.8 EPSS: 28.12% Publiziert: Referenz: CISA KEV -
zlib – Heap-Buffer-Over-Read in inflate (grosses gzip-Extra-Feld)
CVE-2022-37434 KritischIn der weit verbreiteten Kompressionsbibliothek zlib (bis einschliesslich Version 1.2.12) besteht in der Funktion inflate (inflate.c) ein heap-basiertes Buffer-Over-Read beziehungsweise ein Pufferüberlauf, der über ein grosses Extra-Feld im gzip-Header ausgelöst wird. Betroffen sind ausschliesslich Anwendungen, die inflateGetHeader aufrufen. Da zlib in zahlreiche Produkte eingebettet ist, führen mehrere Hersteller (unter anderem ABB, NetApp, Rockwell Automation, Node.js und Apple) eigene Advisories. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 16.0 %. Laut ABB PSIRT sind 2 Produkt(e) betroffen, 0 mit Fix. Empfohlene Massnahme: betroffene Komponenten gemäss den jeweiligen Hersteller-Advisories auf eine korrigierte zlib-Version aktualisieren.
CVSS: 9.8 EPSS: 16.00% Publiziert: Referenz: ABB PSIRT CSAF -
Mbed TLS: Heap-Buffer-Overflow und Over-Read in DTLS mit Connection ID
CVE-2022-46393 KritischIn Mbed TLS vor 2.28.2 sowie in den 3.x-Versionen vor 3.3.0 wurde ein Problem in der DTLS-Verarbeitung gefunden. Bei aktiviertem MBEDTLS_SSL_DTLS_CONNECTION_ID kann es zu einem Heap-basierten Buffer Overflow und zu einem Heap-basierten Buffer Over-Read kommen. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.9 %. Empfohlene Massnahme: auf Mbed TLS 2.28.2 bzw. 3.3.0 oder neuer aktualisieren.
CVSS: 9.8 EPSS: 0.92% Publiziert: Referenz: NVD -
CVE-2022-23303 – Seitenkanal-Angriff auf SAE in hostapd/wpa_supplicant
CVE-2022-23303 KritischDie SAE-Implementierungen (Simultaneous Authentication of Equals) in hostapd vor Version 2.10 und in wpa_supplicant vor Version 2.10 sind aufgrund ihrer Cache-Zugriffsmuster anfällig für Seitenkanal-Angriffe. Über die dabei beobachtbaren Muster lassen sich Rückschlüsse ziehen, die die Sicherheit des Authentifizierungsverfahrens untergraben. CVSS-Basiswert: 9.8 (Kritisch). Empfohlene Massnahme: auf hostapd bzw. wpa_supplicant in Version 2.10 oder neuer aktualisieren.
CVSS: 9.8 Publiziert: Referenz: NVD -
EAP-pwd in hostapd/wpa_supplicant: Seitenkanalangriff über Cache-Zugriffsmuster
CVE-2022-23304 KritischDie EAP-pwd-Implementierungen in hostapd vor Version 2.10 und in wpa_supplicant vor Version 2.10 sind aufgrund von Cache-Zugriffsmustern für Seitenkanalangriffe anfällig. Als betroffener Hersteller ist Fedora ausgewiesen. CVSS-Basiswert: 9.8 (Kritisch). Eine Ausnutzungswahrscheinlichkeit (EPSS) liegt nicht in den Quelldaten vor.
CVSS: 9.8 Publiziert: Referenz: NVD -
zlib – Speicherbeschädigung beim Komprimieren (deflate) vor Version 1.2.12
CVE-2018-25032 HochIn der Kompressionsbibliothek zlib besteht vor Version 1.2.12 eine Schwachstelle, die beim Komprimieren (deflate) zu Speicherbeschädigung führen kann, wenn die Eingabe viele weit entfernte Übereinstimmungen (distant matches) enthält. Betroffen sind zahlreiche Produkte und Distributionen, die zlib einbetten. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 52.1 %. Empfohlene Massnahme: auf zlib 1.2.12 oder eine vom jeweiligen Hersteller bereitgestellte korrigierte Version aktualisieren.
CVSS: 7.5 EPSS: 52.06% Publiziert: Referenz: NVD -
Mbed TLS: Buffer Overflow
CVE-2023-43615 HochMbed TLS 2.x vor Version 2.28.5 und 3.x vor Version 3.5.0 weisen einen Buffer Overflow auf. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: auf Mbed TLS 2.28.5 bzw. 3.5.0 oder neuer aktualisieren.
CVSS: 7.5 EPSS: 0.31% Publiziert: Referenz: NVD -
Mbed TLS – Fehlerhafte Behandlung von Shared Memory in der PSA-Crypto-API
CVE-2024-28960 HochIn Mbed TLS (2.18.0 bis vor 2.28.8 sowie 3.x vor 3.6.0) und Mbed Crypto behandelt die PSA-Crypto-API gemeinsam genutzten Speicher (Shared Memory) fehlerhaft. CVSS-Basiswert: 8.2 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %. Empfohlene Massnahme: Auf Mbed TLS 2.28.8 bzw. 3.6.0 oder neuer aktualisieren.
CVSS: 8.2 EPSS: 0.15% Publiziert: Referenz: NVD -
libreport/ABRT: Symlink-Following in Event-Handler-Skripten
CVE-2026-54230 HochIn den post-create-Event-Handler-Skripten von ABRT in libreport wurde eine Symlink-Following-Schwachstelle gefunden. Die Event-Skripte schreiben Ausgabedateien über Shell-Umleitungen ohne das O_NOFOLLOW-Flag. CVSS-Basiswert: 7.0 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %. Empfohlene Massnahme: aktualisierte Pakete der jeweiligen Distribution einspielen.
CVSS: 7.0 EPSS: 0.14% Publiziert: Referenz: NVD -
Mbed TLS – Richtlinienumgehung / orakelbasierte Entschlüsselung
CVE-2021-45450 HochIn Mbed TLS vor 2.28.0 und 3.x vor 3.1.0 erlauben psa_cipher_generate_iv und psa_cipher_encrypt eine Richtlinienumgehung oder eine orakelbasierte Entschlüsselung, wenn der Ausgabepuffer an einem für einen Angreifer zugänglichen Speicherort liegt. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %. Empfohlene Massnahme: auf eine korrigierte Version aktualisieren bzw. Distributions-Updates einspielen.
CVSS: 7.5 EPSS: 0.11% Publiziert: Referenz: NVD -
Lokale Rechteausweitung über Lua-Bytecode in libinput (Fedora)
CVE-2026-35093 HochIn libinput wurde ein Fehler gefunden. Ein lokaler Angreifer, der eine speziell gestaltete Lua-Bytecode-Datei in bestimmten System- oder Benutzer-Konfigurationsverzeichnissen platzieren kann, kann Sicherheitsbeschränkungen umgehen. CVSS-Basiswert: 8.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 8.8 EPSS: 0.02% Publiziert: Referenz: NVD -
OpenSSH Row-Hammer Authentication Bypass
CVE-2023-51767 HochIn OpenSSH (bis Version 10.0) kann bei bestimmten DRAM-Typen ein Row-Hammer-Angriff ermöglicht werden, der eine Umgehung der Authentifizierung erlaubt, da der Integer-Wert „authenticated” im Prozess mm_answer_authpassword nicht ausreichend gegen Bit-Flip-Angriffe geschützt ist. CVSS-Basiswert: 7.0 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 7.0 EPSS: 0.01% Publiziert: Referenz: NVD -
OpenSSH sshd: Rechteausweitung durch nicht initialisierte Supplemental Groups
CVE-2021-41617 Hochsshd in OpenSSH 6.2 bis vor 8.8 erlaubt bei bestimmten nicht standardmässigen Konfigurationen eine Rechteausweitung, weil supplemental groups nicht wie erwartet initialisiert werden. Betroffen sind Hilfsprogramme, die von sshd ausgeführt werden. CVSS-Basiswert: 7.0 (Hoch). Empfohlene Massnahme: Aktualisierung auf OpenSSH 8.8 oder neuer.
CVSS: 7.0 Publiziert: Referenz: NVD -
PolarSSL / ARM mbed TLS: Heap-based Buffer Overflow (Denial of Service)
CVE-2015-5291 MittelEin Heap-basierter Pufferüberlauf in PolarSSL 1.x vor 1.2.17 sowie in ARM mbed TLS (vormals PolarSSL) 1.3.x vor 1.3.14 und 2.x vor 2.1.2 erlaubt entfernten SSL-Servern, einen Denial of Service (Client-Absturz) zu verursachen. CVSS-Basiswert: 6.8 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 2.0 %. Empfohlene Massnahme: die von den jeweiligen Distributoren bereitgestellten Aktualisierungen einspielen.
CVSS: 6.8 EPSS: 2.05% Publiziert: Referenz: NVD -
ARM mbed TLS (PolarSSL): Heap-basierter Pufferüberlauf
CVE-2015-8036 MittelIn ARM mbed TLS (ehemals PolarSSL) 1.3.x vor 1.3.14 und 2.x vor 2.1.2 besteht ein heap-basierter Pufferüberlauf, über den entfernte SSL-Server einen Denial of Service (Absturz des Clients) verursachen und möglicherweise beliebigen Code ausführen können. Als betroffen ausgewiesen sind Debian (DSA), Amazon Linux (ALAS), Oracle Linux (ELSA), Rocky Linux, Fedora und SUSE/openSUSE. CVSS-Basiswert: 6.8 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 1.4 %. Empfohlene Massnahme: auf eine korrigierte Version aktualisieren bzw. die Distributions-Updates einspielen.
CVSS: 6.8 EPSS: 1.44% Publiziert: Referenz: NVD -
GNU C Library (glibc): Use-after-free in getaddrinfo
CVE-2023-4806 MittelIn der GNU C Library (glibc) wurde eine Schwachstelle identifiziert. In einer äusserst seltenen Situation kann die Funktion getaddrinfo auf bereits freigegebenen Speicher zugreifen, was zu einem Absturz der Anwendung führt. CVSS-Basiswert: 5.9 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 1.4 %. Empfohlene Massnahme: die von den betroffenen Herstellern und Distributionen bereitgestellte aktualisierte glibc-Version einspielen.
CVSS: 5.9 EPSS: 1.44% Publiziert: Referenz: NVD -
Arm Mbed TLS / Mbed Crypto – Schwaches Blinding bei deterministischem ECDSA
CVE-2019-16910 MittelArm Mbed TLS vor 2.19.0 und Arm Mbed Crypto vor 2.0.0 verwenden bei aktiviertem deterministischem ECDSA einen Zufallszahlengenerator mit unzureichender Entropie für das Blinding. Dadurch könnte ein Angreifer unter Umständen einen privaten Schlüssel rekonstruieren. CVSS-Basiswert: 5.3 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.7 %. Empfohlene Massnahme: auf Mbed TLS 2.19.0 bzw. Mbed Crypto 2.0.0 oder neuer aktualisieren, z. B. über die Distributions-Updates (Fedora, Debian, Amazon Linux, Oracle Linux, Rocky Linux).
CVSS: 5.3 EPSS: 0.67% Publiziert: Referenz: NVD -
Mbed TLS – Seitenkanal durch präzise Informationen über Speicherzugriffe
CVE-2022-46392 MittelIn Mbed TLS vor 2.28.2 und in 3.x vor 3.3.0 kann ein Angreifer mit Zugriff auf hinreichend präzise Informationen über Speicherzugriffe – typischerweise ein nicht vertrauenswürdiges Betriebssystem, das die Anwendung angreift – über einen Seitenkanal an sensible Informationen gelangen. CVSS-Basiswert: 5.3 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Empfohlene Massnahme: auf Mbed TLS 2.28.2 bzw. 3.3.0 oder neuer aktualisieren.
CVSS: 5.3 EPSS: 0.23% Publiziert: Referenz: NVD -
Google Chrome DevTools – Unzureichende Richtliniendurchsetzung (Windows)
CVE-2022-2160 MittelIn den DevTools von Google Chrome auf Windows wurde eine unzureichende Richtliniendurchsetzung festgestellt, die es einem Angreifer ermöglichen kann, über eine bösartige Erweiterung potenziell sensible Informationen zu erlangen. CVSS-Basiswert: 6.5 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %.
CVSS: 6.5 EPSS: 0.21% Publiziert: Referenz: NVD -
libreport/ABRT: Content-Injection im post-create-Event-Handler
CVE-2026-54231 MittelIn den post-create-Event-Handler-Skripten von ABRT in libreport wurde eine Content-Injection-Schwachstelle gefunden: Das Event-Skript fragt das systemd-Journal nach Log-Einträgen des abgestürzten Prozesses ab und schreibt diese weiter. Die Lücke ist lokal ausnutzbar und wirkt sich auf die Integrität aus. CVSS-Basiswert: 5.5 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %. Empfohlene Massnahme: die von der Distribution bereitgestellten Updates für libreport/ABRT einspielen.
CVSS: 5.5 EPSS: 0.12% Publiziert: Referenz: NVD -
Arm Mbed TLS: Seitenkanal ermöglicht Wiederherstellung des ECDSA-Schlüssels
CVE-2020-10932 MittelIn Arm Mbed TLS vor 2.16.6 und 2.7.x vor 2.7.15 kann ein Angreifer, der ausreichend präzise Seitenkanalmessungen durchführen kann, den langlebigen privaten ECDSA-Schlüssel wiederherstellen. CVSS-Basiswert: 4.7 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %. Empfohlene Massnahme: auf Mbed TLS 2.16.6 bzw. 2.7.15 oder neuer aktualisieren.
CVSS: 4.7 EPSS: 0.04% Publiziert: Referenz: NVD
Diesem Produkt-Feed folgen
Eigener RSS-Feed nur für Fedora, kostenlos und ohne Anmeldung. Zustellung per E-Mail, Webhook, REST oder TAXII richten wir auf Anfrage ein.
RSS-Feed öffnen Zustellung anfragenWie folge ich dem Feed?
- 1 RSS-Feed-Link kopieren oder direkt im RSS-Reader öffnen.
- 2 Priorisierte Reports (KEV · EPSS · CVSS) landen automatisch in Ihrem Reader.
- 3 Zustellung per E-Mail, Webhook, REST oder TAXII auf Anfrage einrichten lassen.