<html>

    <head>

      <base href="https://bugzilla.rosalinux.ru/">

    </head>

    <body><table border="1" cellspacing="0" cellpadding="8">

        <tr>

          <th>Platform</th>

          <td>2021.1

          </td>

        </tr>

        <tr>

          <th>Bug ID</th>

          <td><a class="bz_bug_link 

          bz_status_CONFIRMED "

   title="CONFIRMED - [CVE 21] c-ares 1.18.1 CVEs found"

   href="https://bugzilla.rosalinux.ru/show_bug.cgi?id=13501">13501</a>

          </td>

        </tr>

        <tr>

          <th>Summary</th>

          <td>[CVE 21] c-ares 1.18.1  CVEs found

          </td>

        </tr>

        <tr>

          <th>Classification</th>

          <td>ROSA-based products

          </td>

        </tr>

        <tr>

          <th>Product</th>

          <td>ROSA Fresh

          </td>

        </tr>

        <tr>

          <th>Version</th>

          <td>All

          </td>

        </tr>

        <tr>

          <th>Hardware</th>

          <td>All

          </td>

        </tr>

        <tr>

          <th>URL</th>

          <td>CVE-2022-4904, CVE-2023-31124, CVE-2023-31130, CVE-2023-31147, CVE-2023-32067,

          </td>

        </tr>

        <tr>

          <th>OS</th>

          <td>Linux

          </td>

        </tr>

        <tr>

          <th>Status</th>

          <td>CONFIRMED

          </td>

        </tr>

        <tr>

          <th>Severity</th>

          <td>normal

          </td>

        </tr>

        <tr>

          <th>Priority</th>

          <td>Normal

          </td>

        </tr>

        <tr>

          <th>Component</th>

          <td>System (kernel, glibc, systemd, bash, PAM...)

          </td>

        </tr>

        <tr>

          <th>Assignee</th>

          <td>bugs&#64;lists.rosalinux.ru

          </td>

        </tr>

        <tr>

          <th>Reporter</th>

          <td>y.tumanov&#64;rosalinux.ru

          </td>

        </tr>

        <tr>

          <th>QA Contact</th>

          <td>bugs&#64;lists.rosalinux.ru

          </td>

        </tr>

        <tr>

          <th>CC</th>

          <td>e.kosachev&#64;rosalinux.ru, s.matveev&#64;rosalinux.ru, y.tumanov&#64;rosalinux.ru

          </td>

        </tr>

        <tr>

          <th>Target Milestone</th>

          <td>---

          </td>

        </tr>

        <tr>

          <th>Flags</th>

          <td>secteam_verified?

          </td>

        </tr></table>

      <p>

        <div>

        <pre>Please patch CVEs for package c-ares version 1.18.1

INFO (CVEs are): c-ares 1.18.1

 cves found

CVE-2022-4904

Desc: A flaw was found in the c-ares package. The ares_set_sortlist is missing

checks about the validity of the input string, which allows a possible

arbitrary length stack overflow. This issue may cause a denial of service or a

limited impact on confidentiality and integrity.

Link: <a href="https://nvd.nist.gov/vuln/detail/CVE-2022-4904">https://nvd.nist.gov/vuln/detail/CVE-2022-4904</a>

Severity: HIGH

CVE-2023-31124

Desc: c-ares is an asynchronous resolver library. When cross-compiling c-ares

and using the autotools build system, CARES_RANDOM_FILE will not be set, as

seen when cross compiling aarch64 android.  This will downgrade to using rand()

as a fallback which could allow an attacker to take advantage of the lack of

entropy by not using a CSPRNG. This issue was patched in version 1.19.1.

Link: <a href="https://nvd.nist.gov/vuln/detail/CVE-2023-31124">https://nvd.nist.gov/vuln/detail/CVE-2023-31124</a>

Severity: LOW

CVE-2023-31130

Desc: c-ares is an asynchronous resolver library. ares_inet_net_pton() is

vulnerable to a buffer underflow for certain ipv6 addresses, in particular

&quot;0::00:00:00/2&quot; was found to cause an issue.  C-ares only uses this function

internally for configuration purposes which would require an administrator to

configure such an address via ares_set_sortlist(). However, users may

externally use ares_inet_net_pton() for other purposes and thus be vulnerable

to more severe issues. This issue has been fixed in 1.19.1.

Link: <a href="https://nvd.nist.gov/vuln/detail/CVE-2023-31130">https://nvd.nist.gov/vuln/detail/CVE-2023-31130</a>

Severity: MEDIUM

CVE-2023-31147

Desc: c-ares is an asynchronous resolver library. When /dev/urandom or

RtlGenRandom() are unavailable, c-ares uses rand() to generate random numbers

used for DNS query ids. This is not a CSPRNG, and it is also not seeded by

srand() so will generate predictable output. Input from the random number

generator is fed into a non-compilant RC4 implementation and may not be as

strong as the original RC4 implementation. No attempt is made to look for

modern OS-provided CSPRNGs like arc4random() that is widely available. This

issue has been fixed in version 1.19.1.

Link: <a href="https://nvd.nist.gov/vuln/detail/CVE-2023-31147">https://nvd.nist.gov/vuln/detail/CVE-2023-31147</a>

Severity: MEDIUM

CVE-2023-32067

Desc: c-ares is an asynchronous resolver library. c-ares is vulnerable to

denial of service. If a target resolver sends a query, the attacker forges a

malformed UDP packet with a length of 0 and returns them to the target

resolver. The target resolver erroneously interprets the 0 length as a graceful

shutdown of the connection. This issue has been patched in version 1.19.1.

Link: <a href="https://nvd.nist.gov/vuln/detail/CVE-2023-32067">https://nvd.nist.gov/vuln/detail/CVE-2023-32067</a>

Severity: HIGH</pre>

        </div>

      </p>

      <hr>

      <span>You are receiving this mail because:</span>

      <ul>

          <li>You are the QA Contact for the bug.</li>

          <li>You are the assignee for the bug.</li>

      </ul>

    </body>

</html>