Technologie

#OpenSSH: Neue Sicherheitslücke! Schwachstelle ermöglicht Offenlegung von Informationen

#OpenSSH: Neue Sicherheitslücke! Schwachstelle ermöglicht Offenlegung von Informationen

„OpenSSH: Neue Sicherheitslücke! Schwachstelle ermöglicht Offenlegung von Informationen“

Für jedes OpenSSH liegt eine IT-Sicherheitswarnung vor. Um welche Schwachstelle es sich handelt, welche Produkte betroffen sind und welches Sie tun können, firm Sie hier.

Dasjenige Bundesamt zu Gunsten von Sicherheit in welcher Informationstechnik (BSI) hat am 22.02.2023 ein Update zu einer am 18.07.2016 bekanntgewordenen Sicherheitslücke zu Gunsten von OpenSSH hrsg.. Betroffen von welcher Sicherheitslücke sind die Betriebssysteme UNIX, Linux, Windows und Applicance sowie die Produkte Open Source CentOS, Debian Linux, Red Hat Enterprise Linux, Ubuntu Linux, Oracle Linux, Open Source OpenSSH, Avaya Zauber Communication Manager, Avaya Zauber Sitzung Manager, Avaya Zauber Application Enablement Services, Avaya Zauber System Manager, Avaya Zauber Experience Tunnelmund und IBM FlashSystem.

Die neuesten Hersteller-Empfehlungen zum Thema Updates, Workarounds und Sicherheitspatches zu Gunsten von sie Sicherheitslücke finden Sie hier: IBM Security Bulletin 650935 (Stand: 22.02.2023). Weitere nützliche Quellen werden weiter unten in diesem Beitrag aufgeführt.

Sicherheitshinweis zu Gunsten von OpenSSH – Risiko: hoch

Risikostufe: 2 (hoch)
CVSS Kusine Score: 7,5
CVSS Zeitlich Score: 7,1
Remoteangriff: Ja

Zur Priorisierung des Schweregrads von Schwachstellen in Computersystemen wird dies Common Vulnerability Scoring System (CVSS) angewandt. Jener CVSS-Standard ermöglicht es, potenzielle oder tatsächliche Sicherheitslücken gen Fundament verschiedener Kriterien miteinander zu vergleichen, um eine darauf aufbauende Prioritätenliste zur Vorwort von Gegenmaßnahmen zu erstellen. Für jedes die Schweregrade einer Schwachstelle werden die Attribute „keine“, „tief“, „mittel“, „hoch“ und „unbequem“ verwendet. Jener Kusine Score bewertet die Voraussetzungen zu Gunsten von vereinigen Übergriff (u.a. Authentifizierung, Schwierigkeit, Privilegien, Userinteraktion) sowie dessen Konsequenzen. Beim Zeitlich Score fließen übrig die Zeit veränderbare Rahmenbedingungen in die Priorisierung ein. Die Gefährdung welcher hier behandelten Schwachstelle wird nachher dem CVSS mit einem Kusine Score von 7,5 qua „hoch“ eingestuft.

OpenSSH Softwarefehler: Schwachstelle ermöglicht Offenlegung von Informationen

OpenSSH ist eine Open Source Implementierung des Secure Shell Protokolls.

Ein entfernter, anonymer Angreifer kann eine Schwachstelle in OpenSSH ausnutzen, um Informationen offenzulegen.

Klassifiziert wurde die Schwachstelle mithilfe des CVE-Bezeichnungssystems (Common Vulnerabilities and Exposures) durch die individuelle Seriennummer CVE-2016-6210.

Von welcher OpenSSH-Sicherheitslücke betroffene Systeme im Übersicht

Betriebssysteme
UNIX, Linux, Windows, Applicance

Produkte
Open Source CentOS (cpe:/o:centos:centos)
Debian Linux (cpe:/o:debian:debian_linux)
Red Hat Enterprise Linux (cpe:/o:redhat:enterprise_linux)
Ubuntu Linux (cpe:/o:canonical:ubuntu_linux)
Oracle Linux (cpe:/o:oracle:linux)
Open Source OpenSSH <= 7.2p2 (cpe:/a:openbsd:openssh)
SUSE Linux Enterprise Server 11 SP4 (cpe:/o:suse:linux_enterprise_server)
SUSE Linux Enterprise Server 12 SP1 (cpe:/o:suse:linux_enterprise_server)
SUSE Linux Enterprise Desktop 12 SP1 (cpe:/o:suse:linux_enterprise_desktop)
SUSE Linux Enterprise Server 12 LTSS (cpe:/o:suse:linux_enterprise_server)
Avaya Zauber Communication Manager (cpe:/a:avaya:communication_manager)
Avaya Zauber Sitzung Manager (cpe:/a:avaya:session_manager)
Avaya Zauber Application Enablement Services (cpe:/a:avaya:aura_application_enablement_services)
Avaya Zauber System Manager (cpe:/a:avaya:aura_system_manager)
Avaya Zauber Experience Tunnelmund (cpe:/a:avaya:aura_experience_portal)
IBM FlashSystem 840 (cpe:/a:ibm:flashsystem)
IBM FlashSystem 900 (cpe:/a:ibm:flashsystem)

Allgemeine Maßnahmen zum Umgang mit IT-Schwachstellen

  1. Benutzer welcher betroffenen Anwendungen sollten sie gen dem aktuellsten Stand halten. Hersteller sind nebst Bekanntwerden von Sicherheitslücken dazu angehalten, sie schnellstmöglich durch Erschaffung eines Patches oder eines Workarounds zu beheben. Sollten neue Sicherheitsupdates verfügbar sein, installieren Sie sie zeitnah.

  2. Rat einholen Sie zu Informationszwecken die im nächsten Stück aufgeführten Quellen. Oft enthalten sie weiterführende Informationen zur aktuellsten Version welcher betreffenden Software sowie zur Verfügbarkeit von Sicherheitspatches oder Hinweise zu Workarounds.

  3. Wenden Sie sich nebst weiteren Fragen oder Unsicherheiten an Ihren zuständigen Administrator. IT-Sicherheitsverantwortliche sollten die genannten Quellen regelmäßig daraufhin prüfen, ob ein neues Sicherheitsupdate zur Verfügung steht.

Quellen zu Updates, Patches und Workarounds

An dieser Stelle Ergehen sich weiterführende Sinister mit Informationen übrig Softwarefehler-Reports, Security-Fixes und Workarounds.

IBM Security Bulletin 650935 vom 2023-02-22 (22.02.2023)
Weitere Informationen finden Sie unter: https://www.ibm.com/support/pages/node/650935

AVAYA Security Advisory ASA-2017-281 vom 2020-01-07 (07.01.2020)
Weitere Informationen finden Sie unter: https://downloads.avaya.com/css/P8/documents/101044062

NetApp Security Advisory NTAP-20190206-0001 vom 2019-02-06 (07.02.2019)
Weitere Informationen finden Sie unter: https://security.netapp.com/advisory/ntap-20190206-0001/

NetApp Security Advisory NTAP-20190206-0001 vom 2019-02-07 (07.02.2019)
Weitere Informationen finden Sie unter: https://security.netapp.com/advisory/ntap-20190206-0001/

CentOS-announce CESA-2017:2563 vom 2017-08-31 (01.09.2017)
Weitere Informationen finden Sie unter: https://lists.centos.org/pipermail/centos-announce/2017-August/022529.html

Red Hat Security Advisory RHSA-2017:2563 vom 2017-08-31 (01.09.2017)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2017:2563

Oracle Linux Security Advisory ELSA-2017-2563 vom 2017-08-31 (01.09.2017)
Weitere Informationen finden Sie unter: http://linux.oracle.com/errata/ELSA-2017-2563.html

RedHat Security Advisory: RHSA-2017:2029 (02.08.2017)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2017:2029

F5 Security Advisory K14845276 vom 2016-12-23 (23.12.2016)
Weitere Informationen finden Sie unter: https://support.f5.com/csp/#/article/K14845276

BlueCoat Security Advisory SA136 (14.12.2016)
Weitere Informationen finden Sie unter: https://bto.bluecoat.com/security-advisory/sa136

SUSE Security Update SUSE-SU-2016:2555-1 vom 2016-10-25 (26.10.2016)
Weitere Informationen finden Sie unter: https://www.suse.com/support/update/announcement/2016/suse-su-20162555-1.html

SUSE Security Update SUSE-SU-2016:2388-1 vom 2016-09-27 (28.09.2016)
Weitere Informationen finden Sie unter: https://www.suse.com/support/update/announcement/2016/suse-su-20162388-1.html

SUSE Security Update SUSE-SU-2016:2280-1 vom 2016-09-12 (13.09.2016)
Weitere Informationen finden Sie unter: https://www.suse.com/support/update/announcement/2016/suse-su-20162280-1.html

SUSE Security Update SUSE-SU-2016:2281-1 vom 2016-09-12 (13.09.2016)
Weitere Informationen finden Sie unter: https://www.suse.com/support/update/announcement/2016/suse-su-20162281-1.html

Ubuntu Security Notice USN-3061-1 vom 2016-08-15 (16.08.2016)
Weitere Informationen finden Sie unter: http://www.ubuntu.com/usn/usn-3061-1/

OpenSSH 7.3 release notes vom 2016-08-01 (02.08.2016)
Weitere Informationen finden Sie unter: http://www.openssh.com/txt/release-7.3

Debian Security Advisory DSA-3626 vom 2016-07-24 (25.07.2016)
Weitere Informationen finden Sie unter: https://www.debian.org/security/2016/dsa-3626

Meldung gen oss-sec mailing list vom 2016-07-14 (18.07.2016)
Weitere Informationen finden Sie unter: http://seclists.org/fulldisclosure/2016/Jul/51

Versionshistorie dieser Sicherheitswarnung

Dies ist die 20. Version des vorliegenden IT-Sicherheitshinweises zu Gunsten von OpenSSH. Für Kundgabe weiterer Updates wird dieser Text aktualisiert. Die vorgenommenen Änderungen können Sie per welcher folgenden Versionshistorie wiederholen.

18.07.2016 – Initial Release
18.07.2016 – Version nicht vorhanden
18.07.2016 – Version nicht vorhanden
25.07.2016 – New remediations available
25.07.2016 – Version nicht vorhanden
02.08.2016 – New remediations available
16.08.2016 – New remediations available
16.08.2016 – Version nicht vorhanden
13.09.2016 – New remediations available
13.09.2016 – Version nicht vorhanden
28.09.2016 – New remediations available
26.10.2016 – New remediations available
14.12.2016 – New remediations available
23.12.2016 – New remediations available
02.08.2017 – New remediations available
08.08.2017 – Added references
01.09.2017 – Version nicht vorhanden
07.02.2019 – Neue Updates von NetApp aufgenommen
07.01.2020 – Neue Updates von AVAYA aufgenommen
22.02.2023 – Neue Updates von IBM aufgenommen

+++ Redaktioneller Rauchsignal: Dieser Text wurde gen Fundament aktueller BSI-Datenansammlung KI-gestützt erstellt. Feedback und Anmerkungen nehmen wir unter [email protected] entgegen. +++

Hinterher gehen Sie News.de schon nebst Facebook, Twitter, Pinterest und YouTube? Hier finden Sie brandheiße News, aktuelle Videos und den direkten Litze zur Redaktion.
roj/news.de

Quelle

Ähnliche Artikel

E-Autos aus China: BMW und Co. müssen sich gefasst machen

#E-Autos aus Volksrepublik China: BMW und Cobalt. zu tun sein sich gefasst zeugen

#Apple School Manager Wartung neuartig: Welche Auswirkungen hat die Wartung?

#Apple School Manager Wartung neuartig: Welche Auswirkungen hat die Wartung?

Amazon hat gut lachen: Teil 3 eines Mega-Hits bei Prime Video

#Amazon hat gut lachen: Teil 3 eines Mega-Hits nebst Prime Video

#Dies geheime Speisefolge, dies jeder Kontakt haben sollte

#Dies geheime Speisefolge, dies jeder Kontakt haben sollte

Hinterlasse eine Antwort

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Schaltfläche "Zurück zum Anfang"