Dasjenige Bundesamt pro Sicherheit in dieser Informationstechnik (BSI) hat am 09.12.2022 ein Update zu einer am 18.10.2022 bekanntgewordenen Sicherheitslücke pro Apache Commons Text hrsg.. Betroffen von dieser Sicherheitslücke sind die Betriebssysteme UNIX, Linux, MacOS X und Windows sowie die Produkte IBM InfoSphere Information Server, Red Hat Enterprise Linux, Unify OpenScape Contact Center, IBM SPSS, Unify OpenScape UC Application, Citrix Systems Virtual Apps and Desktops, Apache Commons und Zoho ManageEngine Desktop Central.

Die neuesten Hersteller-Empfehlungen diesbezüglich Updates, Workarounds und Sicherheitspatches pro sie Sicherheitslücke finden Sie hier: Red Hat Security Advisory RHSA-2022:8902 (Stand: 08.12.2022). Weitere nützliche Quellen werden weiter unten in diesem Kautel aufgeführt.

Sicherheitshinweis pro Apache Commons Text – Risiko: hoch

Risikostufe: 4 (hoch)
CVSS Kusine Score: 9,8
CVSS Zeitlich Score: 8,8
Remoteangriff: Ja

Zur Einschätzung dieser Verwundbarkeit von Computersystemen wird dasjenige Common Vulnerability Scoring System (CVSS) angewandt. Dieser CVSS-Standard ermöglicht es, potenzielle oder tatsächliche Sicherheitslücken gen Grund verschiedener Kriterien miteinander zu vergleichen, um eine darauf aufbauende Prioritätenliste zur Herbeiführen von Gegenmaßnahmen zu erstellen. Zu Gunsten von die Schweregrade einer Schwachstelle werden die Attribute „keine“, „tief“, „mittel“, „hoch“ und „ungelegen“ verwendet. Dieser Kusine Score bewertet die Voraussetzungen pro vereinigen Sturm (u.a. Authentifizierung, Varianz, Privilegien, Userinteraktion) sowie dessen Konsequenzen. Dieser Zeitlich Score berücksichtigt darüber hinaus zeitliche Veränderungen im Sinne als dieser Gefahrenlage. Dieser Schweregrad dieser hier behandelten Schwachstelle wird nachdem dem CVSS mit einem Kusine Score von 9,8 denn „hoch“ eingeschätzt.

Apache Commons Text Softwarefehler: Schwachstelle ermöglicht Codeausführung

Apache Commons ist ein Apache-Projekt, dasjenige aus Aspekte dieser wiederverwendbaren Java-Komponenten behandelt.

Ein entfernter, anonymer Angreifer kann eine Schwachstelle in Apache Commons Text ausnutzen, um beliebigen Programmcode auszuführen.

Die Verwundbarkeit wird mit dieser eindeutigen CVE-Seriennummer (Common Vulnerabilities and Exposures) CVE-2022-42889 gehandelt.

Von dieser Sicherheitslücke betroffene Systeme im Übersicht

Betriebssysteme
UNIX, Linux, MacOS X, Windows

Produkte
IBM InfoSphere Information Server 11.7 (cpe:/a:ibm:infosphere_information_server)
Red Hat Enterprise Linux (cpe:/o:redhat:enterprise_linux)
Unify OpenScape Contact Center (cpe:/a:unify:openscape_contact_center)
IBM SPSS (cpe:/a:ibm:spss)
Unify OpenScape UC Application (cpe:/a:unify:openscape_uc_application)
Citrix Systems Virtual Apps and Desktops (cpe:/a:citrix:virtual_apps_and_desktops)
Apache Commons Text < 1.10.0 (cpe:/a:apache:commons)
Zoho ManageEngine Desktop Central < 10.1.2228.10 (cpe:/a:zohocorp:manageengine_desktop_central)

Allgemeine Empfehlungen zum Umgang mit IT-Sicherheitslücken

1. Benutzer dieser betroffenen Systeme sollten sie gen dem aktuellsten Stand halten. Hersteller sind zwischen Bekanntwerden von Sicherheitslücken dazu angehalten, sie schnellstmöglich durch Fortgang eines Patches oder eines Workarounds zu beheben. Sollten neue Sicherheitsupdates verfügbar sein, installieren Sie sie zeitnah.

2. Sich beraten lassen Sie zu Informationszwecken die im nächsten Stück aufgeführten Quellen. X-mal enthalten sie weiterführende Informationen zur aktuellsten Version dieser betreffenden Software sowie zur Verfügbarkeit von Sicherheitspatches oder Hinweise zu Workarounds.

3. Wenden Sie sich zwischen weiteren Fragen oder Unsicherheiten an Ihren zuständigen Administrator. IT-Sicherheitsverantwortliche sollten die genannten Quellen regelmäßig daraufhin prüfen, ob ein neues Sicherheitsupdate zur Verfügung steht.

Quellen zu Updates, Patches und Workarounds

An dieser Stelle finden Sie weiterführende Sinister mit Informationen mehr als Softwarefehler-Reports, Security-Fixes und Workarounds.

Red Hat Security Advisory RHSA-2022:8902 vom 2022-12-08 (09.12.2022)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2022:8902

IBM Security Bulletin 6841279 vom 2022-12-09 (09.12.2022)
Weitere Informationen finden Sie unter: https://www.ibm.com/support/pages/node/6841279

Red Hat Security Advisory RHSA-2022:8876 vom 2022-12-07 (08.12.2022)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2022:8876

Red Hat Security Advisory RHSA-2022:8652 vom 2022-11-28 (29.11.2022)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2022:8652

Citrix Security Advisory CTX474006 vom 2022-11-09 (09.11.2022)
Weitere Informationen finden Sie unter: https://support.citrix.com/article/CTX474006/citrix-security-advisory-for-cve202242889

IBM Security Bulletin 6833874 vom 2022-11-03 (03.11.2022)
Weitere Informationen finden Sie unter: https://www.ibm.com/blogs/psirt/security-bulletin-ibm-spss-modeler-is-vulnerable-to-apache-commons-text-cve-2022-42889/

Enhancements and bug fixes for Desktop Central (27.10.2022)
Weitere Informationen finden Sie unter: http://www.manageengine.com/products/desktop-central/hotfix-readme1.html

Unify Security Advisory Report OBSO-2210-01 vom 2022-10-26 (27.10.2022)
Weitere Informationen finden Sie unter: https://networks.unify.com/security/advisories/OBSO-2210-01.pdf

PoC vom 2022-10-17 (18.10.2022)
Weitere Informationen finden Sie unter: https://github.com/SeanWrightSec/CVE-2022-42889-PoC

Red Hat Bugzilla Softwarefehler ID 2135435 vom 2022-10-17 (18.10.2022)
Weitere Informationen finden Sie unter: https://bugzilla.redhat.com/show_bug.cgi?id=2135435

Github Security Advisory GHSA-599f-7c49-w659 vom 2022-10-17 (18.10.2022)
Weitere Informationen finden Sie unter: https://github.com/advisories/GHSA-599f-7c49-w659

Github Security Advisory GHSL-2022-018 vom 2022-10-17 (18.10.2022)
Weitere Informationen finden Sie unter: https://securitylab.github.com/advisories/GHSL-2022-018_Apache_Commons_Text/

Versionshistorie dieser Sicherheitswarnung

Dies ist die 9. Version des vorliegenden IT-Sicherheitshinweises pro Apache Commons Text. Sollten weitere Updates bekanntgegeben werden, wird dieser Text aktualisiert. Die vorgenommenen Änderungen können Sie qua dieser folgenden Versionshistorie reproduzieren.

09.12.2022 – Neue Updates von Red Hat aufgenommen
08.12.2022 – Neue Updates von Red Hat aufgenommen
29.11.2022 – Neue Updates von Red Hat aufgenommen
23.11.2022 – Verweis(en) aufgenommen:
18.10.2022 – Initiale Steckdose
20.10.2022 – Schwachstelle wird wenn schon „Log4Text“ genannt
27.10.2022 – Neue Updates von Unify aufgenommen
03.11.2022 – Neue Updates von IBM aufgenommen
09.11.2022 – Neue Updates von Citrix aufgenommen

+++ Redaktioneller Rauchzeichen: Dieser Text wurde gen Grund aktueller BSI-Datenansammlung KI-gestützt erstellt. Feedback und Anmerkungen nehmen wir unter [email protected] entgegen. +++

Verfolgen Sie News.de schon zwischen Facebook, Twitter, Pinterest und YouTube? Hier finden Sie brandheiße News, aktuelle Videos und den direkten Leiterbahn zur Redaktion.
roj/news.de