Dies Bundesamt zu Gunsten von Sicherheit in dieser Informationstechnik (BSI) hat am 25.07.2024 vereinigen Sicherheitshinweis zu Gunsten von Apache Traffic Server gemeldet. Die Meldung führt mehrere Schwachstellen hinaus, die vereinigen Offensive geben. Betroffen von dieser Sicherheitslücke sind die Betriebssysteme Linux, UNIX und Windows sowie dasjenige Produkt Apache Traffic Server.

Die neuesten Hersteller-Empfehlungen in puncto Updates, Workarounds und Sicherheitspatches zu Gunsten von welche Sicherheitslücke finden Sie hier: OSS Security Mailing List (Stand: 25.07.2024). Weitere nützliche Sinister werden weiter unten in diesem Verpflichtung aufgeführt.

Mehrere Schwachstellen zu Gunsten von Apache Traffic Server gemeldet – Risiko: hoch

Risikostufe: 3 (hoch)
CVSS Kusine Score: 8,6
CVSS Zeitlich Score: 7,5
Remoteangriff: Ja

Zur Einschätzung dieser Verwundbarkeit von Computersystemen wird dasjenige Common Vulnerability Scoring System (CVSS) angewandt. Dieser CVSS-Standard ermöglicht es, potenzielle oder tatsächliche Sicherheitslücken hinaus Grund verschiedener Metriken miteinander zu vergleichen, um Gegenmaßnahmen besser vorziehen zu können. Zu Händen die Schweregrade einer Schwachstelle werden die Attribute „keine“, „tief“, „mittel“, „hoch“ und „unbequem“ verwendet. Dieser Kusine Score bewertet die Voraussetzungen zu Gunsten von vereinigen Offensive (u.a. Authentifizierung, Kompliziertheit, Privilegien, Userinteraktion) sowie dessen Konsequenzen. Beim Zeitlich Score fließen zusätzlich die Zeit veränderbare Rahmenbedingungen in die Ordnung ein. Die Gefährdung dieser aktuellen Schwachstelle wird nachher dem CVSS mit einem Kusine Score von 8,6 qua „hoch“ eingestuft.

Apache Traffic Server Programmfehler: Auswirkungen eines IT-Angriffs

Apache Traffic Server ist ein skalier- und erweiterbarer, mit Hypertext Transfer Protocol/1.1 kompatibler „caching proxy server“.

Ein entfernter, anonymer Angreifer kann mehrere Schwachstellen in Apache Traffic Server ausnutzen, um vereinigen Denial of Tafelgeschirr Offensive durchzuführen oder Sicherheitsmaßnahmen zu umgehen.

Klassifiziert wurden die Schwachstellen mithilfe des CVE-Bezeichnungssystems (Common Vulnerabilities and Exposures) durch die individuellen Seriennummern CVE-2023-38522, CVE-2024-35161 und CVE-2024-35296.

Von dieser Sicherheitslücke betroffene Systeme im Zusammenfassung

Betriebssysteme
Linux, UNIX, Windows

Produkte
Apache Traffic Server <8.1.11 (cpe:/a:apache:traffic_server)
Apache Traffic Server <9.2.5 (cpe:/a:apache:traffic_server)

Allgemeine Empfehlungen zum Umgang mit IT-Schwachstellen

1. Nutzer dieser betroffenen Anwendungen sollten welche hinaus dem aktuellsten Stand halten. Hersteller sind unter Bekanntwerden von Sicherheitslücken dazu angehalten, welche schnellstmöglich durch Erschaffung eines Patches oder eines Workarounds zu beheben. Sollten Sicherheitspatches verfügbar sein, installieren Sie welche zeitnah.
2. Sich beraten lassen Sie zu Informationszwecken die im nächsten Segment aufgeführten Quellen. Vielmals enthalten welche weiterführende Informationen zur aktuellsten Version dieser betreffenden Software sowie zur Verfügbarkeit von Sicherheitspatches oder Hinweise zu Workarounds.
3. Wenden Sie sich unter weiteren Fragen oder Unsicherheiten an Ihren zuständigen Administrator. IT-Sicherheitsverantwortliche sollten die genannten Quellen regelmäßig daraufhin prüfen, ob ein neues Sicherheitsupdate zur Verfügung steht.

Quellen zu Updates, Patches und Workarounds

An dieser Stelle finden Sie weiterführende Sinister mit Informationen zusätzlich Programmfehler-Reports, Security-Fixes und Workarounds.

OSS Security Mailing List vom 2024-07-25 (25.07.2024)
Weitere Informationen finden Sie unter: https://seclists.org/oss-sec/2024/q3/112

Apache Mailing List vom 2024-07-25 (25.07.2024)
Weitere Informationen finden Sie unter: https://lists.apache.org/thread/kqv2fjn85ypl8vynhoghydnrf6lsvwbk

Versionshistorie dieser Sicherheitswarnung

Dies ist die initiale Steckdose des vorliegenden IT-Sicherheitshinweises zu Gunsten von Apache Traffic Server. Für Kundgabe von Updates wird dieser Text aktualisiert. Die vorgenommenen Änderungen können Sie via dieser folgenden Versionshistorie wiederholen.

25.07.2024 – Initiale Steckdose

+++ Redaktioneller Verzeichnis: Dieser Text wurde hinaus Grund aktueller BSI-Statistik generiert und wird je nachher Warnlage datengetrieben aktualisiert. Feedback und Anmerkungen nehmen wir unter [email protected] entgegen. +++

Nachstellen Sie News.de schon unter Facebook, Twitter, Pinterest und YouTube? Hier finden Sie brandheiße News, aktuelle Videos und den direkten Leiterbahn zur Redaktion.
kns/roj/news.de