USN-7927-3: Regression bei urllib3

USN-7927-3: urllib3-Regression

Veröffentlichungsdatum:13 Januar 2026
Überblick: Mit USN-7927-1 wurde eine Regression in urllib3 eingeführt.

Pakete
python-urllib3 - HTTP-Bibliothek mit thread-sicherem Verbindungs-Pooling

Details
USN-7927-1 behebt Sicherheitslücken in urllib3. Die Aktualisierung für CVE-2025-66471
führte eine Regression in urllib3 beim Dekomprimieren von zstd-Daten ein. Dieses
Update behebt das Problem.

Wir entschuldigen uns für die Unannehmlichkeiten.

Ursprüngliche Details des Hinweises:

Illia Volochii entdeckte, dass urllib3 nicht die Schritte in einer
Dekomprimierungskette nicht begrenzt. Ein Angreifer könnte dieses Problem möglicherweise ausnutzen, damit
urllib3 dazu bringen, übermäßig viele Ressourcen zu verbrauchen, was einen Denial-of-Service verursacht.
(CVE-2025-66418)

Rui Xi entdeckte, dass urllib3 hochkomprimierte Daten falsch behandelt.
Ein Angreifer könnte dieses Problem möglicherweise ausnutzen, um urllib3 dazu zu bringen
übermäßige Ressourcen zu verwenden, was einen Denial-of-Service verursacht. Dieses Problem betraf nur
Ubuntu 24.04 LTS, Ubuntu 25.04, und Ubuntu 25.10. (CVE-2025-66471)

FÃ?r die brotli-VerschlÃ?sselung erfordert die Korrektur fÃ?r CVE-2025-66471 ein zusÃ?tzliches
Sicherheitsupdate im brotli-Paket.

Anweisungen zur Aktualisierung
Im Allgemeinen werden mit einer Standard-Systemaktualisierung alle erforderlichen Änderungen vorgenommen.

Das Problem kann behoben werden, indem Sie Ihr System auf die folgenden Paketversionen aktualisieren:

• 25.10 questing python3-urllib3 - 2.3.0-3ubuntu0.4
• 25.04 plucky python3-urllib3 - 2.3.0-2ubuntu0.5
• 24.04 LTS noble python3-urllib3 - 2.0.7-1ubuntu0.6