Dasjenige Bundesamt pro Sicherheit in jener Informationstechnik (BSI) hat am 24.04.2024 ein Update zu einer am 10.07.2018 bekanntgewordenen Sicherheitslücke pro Ansible veröffentlicht. Betroffen von jener Sicherheitslücke sind dasjenige operating system Linux sowie die Produkte Debian Linux, Red Hat Enterprise Linux, Ubuntu Linux, SUSE Linux, Red Hat OpenStack, Open Source Ansible, Red Hat OpenShift, Red Hat Satellite und Red Hat Enterprise Virtualization.

Die neuesten Hersteller-Empfehlungen in Hinblick auf Updates, Workarounds und Sicherheitspatches pro jene Sicherheitslücke finden Sie hier: SUSE Security Update SUSE-SU-2024:1427-1 (Stand: 24.04.2024). Weitere nützliche Quellen werden weiter unten in diesem Kautel aufgeführt.

Sicherheitshinweis pro Ansible – Risiko: mittel

Risikostufe: 4 (mittel)
CVSS Kusine Score: 7,8
CVSS Zeitlich Score: 6,8
Remoteangriff: Nein

Zur Einschätzung jener Verwundbarkeit von Computersystemen wird dasjenige Common Vulnerability Scoring System (CVSS) angewandt. Dieser CVSS-Standard ermöglicht es, potenzielle oder tatsächliche Sicherheitslücken uff Stützpunkt verschiedener Metriken miteinander zu vergleichen, um eine darauf aufbauende Prioritätenliste zur Geleitwort von Gegenmaßnahmen zu erstellen. Zu Gunsten von die Schweregrade einer Schwachstelle werden die Attribute „keine“, „tief“, „mittel“, „hoch“ und „unbequem“ verwendet. Dieser Kusine Score bewertet die Voraussetzungen pro verknüpfen Überfall (u.a. Authentifizierung, Varianz, Privilegien, Userinteraktion) sowie dessen Konsequenzen. Beim Zeitlich Score fließen verbleibend die Zeit veränderbare Rahmenbedingungen in die Ordnung ein. Dasjenige Risiko jener hier behandelten Schwachstelle wird nachher dem CVSS mit einem Kusine Score von 7,8 wie „mittel“ eingeschätzt.

Ansible Softwarefehler: Mehrere Schwachstellen zuteilen Schmeißen von beliebigem Programmcode

Ansible ist eine Software zur Automatisierung von Cloud Provisionierung,zum Konfigurationsmanagement und zur Anwendungsbereitstellung.

Ein lokaler Angreifer kann mehrere Schwachstellen in Ansible ausnutzen, um beliebigen Programmcode mit Benutzerrechten auszuführen.

Klassifiziert wurden die Schwachstellen mithilfe des CVE-Bezeichnungssystems (Common Vulnerabilities and Exposures) durch die individuellen Seriennummern CVE-2018-10874 und CVE-2018-10875.

Von jener Ansible-Sicherheitslücke betroffene Systeme im Übersicht

operating system
Linux

Produkte
Debian Linux (cpe:/o:debian:debian_linux)
Red Hat Enterprise Linux (cpe:/o:redhat:enterprise_linux)
Ubuntu Linux (cpe:/o:canonical:ubuntu_linux)
SUSE Linux (cpe:/o:suse:suse_linux)
Red Hat OpenStack (cpe:/a:redhat:openstack)
Open Source Ansible (cpe:/a:open_source:ansible)
Red Hat OpenShift Enterprise (cpe:/a:redhat:openshift)
Red Hat Satellite 6 (cpe:/a:redhat:satellite)
Red Hat Enterprise Virtualization 4 (cpe:/a:redhat:enterprise_virtualization)

Allgemeine Empfehlungen zum Umgang mit IT-Schwachstellen

1. Benützer jener betroffenen Systeme sollten jene uff dem aktuellsten Stand halten. Hersteller sind zwischen Bekanntwerden von Sicherheitslücken dazu angehalten, jene schnellstmöglich durch Erfindung eines Patches oder eines Workarounds zu beheben. Sollten neue Sicherheitsupdates verfügbar sein, installieren Sie jene zeitnah.
2. Sich beraten lassen Sie zu Informationszwecken die im nächsten Unvollendetes aufgeführten Quellen. X-fach enthalten jene weiterführende Informationen zur aktuellsten Version jener betreffenden Software sowie zur Verfügbarkeit von Sicherheitspatches oder Hinweise zu Workarounds.
3. Wenden Sie sich zwischen weiteren Fragen oder Unsicherheiten an Ihren zuständigen Administrator. IT-Sicherheitsverantwortliche sollten regelmäßig prüfen, zu welcher Zeit jener von jener IT-Sicherheitswarnung betroffene Hersteller ein neues Sicherheitsupdate zur Verfügung stellt.

Quellen zu Updates, Patches und Workarounds

An dieser Stelle entscheiden sich weiterführende Sinister mit Informationen verbleibend Softwarefehler-Reports, Security-Fixes und Workarounds.

SUSE Security Update SUSE-SU-2024:1427-1 vom 2024-04-24 (24.04.2024)
Weitere Informationen finden Sie unter: https://lists.suse.com/pipermail/sle-security-updates/2024-Vierter Monat des Jahres/018418.html

SUSE Security Update SUSE-SU-2020:3309-1 vom 2020-11-12 (12.11.2020)
Weitere Informationen finden Sie unter: https://lists.suse.com/pipermail/sle-security-updates/2020-November/007763.html

Ubuntu Security Notice USN-4072-1 vom 2019-07-25 (24.07.2019)
Weitere Informationen finden Sie unter: https://usn.ubuntu.com/4072-1/

Debian Security Advisory DSA-4396 vom 2019-02-20 (19.02.2019)
Weitere Informationen finden Sie unter: https://www.debian.org/security/2019/dsa-4396

Red Hat Security Advisory RHSA-2019:0054 vom 2019-01-16 (16.01.2019)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2019:0054

SUSE Security Update SUSE-SU-2018:4130-1 vom 2018-12-15 (16.12.2018)
Weitere Informationen finden Sie unter: https://www.suse.com/support/update/announcement/2018/suse-su-20184130-1.html

Red Hat Security Advisory RHSA-2018:2585 vom 2018-08-30 (29.08.2018)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2018:2585

Red Hat Security Advisory RHSA-2018:2321 vom 2018-08-01 (01.08.2018)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2018:2321

RedHat Security Advisory RHSA-2018:2166 vom 2018-07-10 (10.07.2018)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2018:2166

RedHat Security Advisory RHSA-2018:2152 vom 2018-07-10 (10.07.2018)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2018:2152

RedHat Security Advisory RHSA-2018:2151 vom 2018-07-10 (10.07.2018)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2018:2151

RedHat Security Advisory RHSA-2018:2150 vom 2018-07-10 (10.07.2018)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2018:2150

Versionshistorie dieser Sicherheitswarnung

Dies ist die 13. Version des vorliegenden IT-Sicherheitshinweises pro Ansible. C/o Kundgabe weiterer Updates wird dieser Text aktualisiert. Die vorgenommenen Änderungen können Sie über jener folgenden Versionshistorie reproduzieren.

10.07.2018 – Initial Release
10.07.2018 – Version nicht vorhanden
10.07.2018 – Version nicht vorhanden
01.08.2018 – New remediations available
01.08.2018 – Version nicht vorhanden
01.08.2018 – Version nicht vorhanden
29.08.2018 – New remediations available
16.12.2018 – New remediations available
16.01.2019 – Neue Updates von Red Hat aufgenommen
19.02.2019 – Neue Updates von Debian aufgenommen
24.07.2019 – Neue Updates von Ubuntu aufgenommen
12.11.2020 – Neue Updates von SUSE aufgenommen
24.04.2024 – Neue Updates von SUSE aufgenommen

+++ Redaktioneller Rauchsignal: Dieser Text wurde uff Stützpunkt aktueller BSI-Wissen generiert und wird je nachher Warnlage datengetrieben aktualisiert. Feedback und Anmerkungen nehmen wir unter [email protected] entgegen. +++

Hinterher gehen Sie News.de schon zwischen Facebook, Twitter, Pinterest und YouTube? Hier finden Sie brandheiße News, aktuelle Videos und den direkten Leitung zur Redaktion.
kns/roj/news.de