Dasjenige Bundesamt zum Besten von Sicherheit in welcher Informationstechnik (BSI) hat am 18.11.2022 ein Update zu einer am 07.03.2022 bekanntgewordenen Sicherheitslücke mit mehreren Schwachstellen zum Besten von Asterisk hrsg.. Betroffen von welcher Sicherheitslücke sind die Betriebssysteme UNIX, Linux und Windows sowie die Produkte Debian Linux, Open Source Asterisk und Digium Certified Asterisk.

Die neuesten Hersteller-Empfehlungen diesbezüglich Updates, Workarounds und Sicherheitspatches zum Besten von welche Sicherheitslücke finden Sie hier: Debian Security Advisory DSA-5285 (Stand: 17.11.2022). Weitere nützliche Sinister werden weiter unten in diesem Ware aufgeführt.

Mehrere Schwachstellen zum Besten von Asterisk – Risiko: hoch

Risikostufe: 4 (hoch)
CVSS Kusine Score: 8,8
CVSS Zeitlich Score: 7,7
Remoteangriff: Ja

Zur Einschätzung welcher Verwundbarkeit von Computersystemen wird dasjenige Common Vulnerability Scoring System (CVSS) angewandt. Welcher CVSS-Standard ermöglicht es, potenzielle oder tatsächliche Sicherheitslücken gen Lager verschiedener Kriterien miteinander zu vergleichen, um eine darauf aufbauende Prioritätenliste zur Vorwort von Gegenmaßnahmen zu erstellen. Für jedes die Schweregrade einer Schwachstelle werden die Attribute „keine“, „tief“, „mittel“, „hoch“ und „unbequem“ verwendet. Welcher Kusine Score bewertet die Voraussetzungen zum Besten von kombinieren Übergriff (u.a. Authentifizierung, Kompliziertheit, Privilegien, Userinteraktion) sowie dessen Konsequenzen. Welcher Zeitlich Score berücksichtigt darüber hinaus zeitliche Veränderungen in Form von welcher Gefahrenlage. Die Gefährdung welcher aktuellen Schwachstelle wird nachher dem CVSS mit einem Kusine Score von 8,8 denn „hoch“ eingeschätzt.

Asterisk Programmierfehler: Schwachstellen und CVE-Nummern

Asterisk ist eine komplette Open Source Multiprotokoll Telefonanlage (PBX) gen Softwarebasis.Certified Asterisk ist eine komplette Multiprotokoll Telefonanlage (PBX) gen Softwarebasis mit erweitertem Support.

Ein entfernter, authentisierter Angreifer kann mehrere Schwachstellen in Asterisk und Digium Certified Asterisk ausnutzen, um beliebigen Programmcode auszuführen, kombinieren Denial of Tafelgeschirr Zustand herbeizuführen oder Informationen offenzulegen.

Die Verwundbarkeit wird mit den eindeutigen CVE-Identifikationsnummern (Common Vulnerabilities and Exposures) CVE-2021-37706, CVE-2022-21723 und CVE-2022-23608 gehandelt.

Von welcher Asterisk-Sicherheitslücke betroffene Systeme im Syllabus

Betriebssysteme
UNIX, Linux, Windows

Produkte
Debian Linux (cpe:/o:debian:debian_linux)
Open Source Asterisk < 16.24.1 (cpe:/a:digium:asterisk)
Open Source Asterisk < 18.10.1 (cpe:/a:digium:asterisk)
Open Source Asterisk < 19.2.1 (cpe:/a:digium:asterisk)
Digium Certified Asterisk < 16.8-cert13 (cpe:/a:digium:certified_asterisk)

Allgemeine Maßnahmen zum Umgang mit IT-Schwachstellen

1. Computer-Nutzer welcher betroffenen Systeme sollten welche gen dem aktuellsten Stand halten. Hersteller sind im Zusammenhang Bekanntwerden von Sicherheitslücken dazu angehalten, welche schnellstmöglich durch Entwicklungsverlauf eines Patches oder eines Workarounds zu beheben. Sollten neue Sicherheitsupdates verfügbar sein, installieren Sie welche zeitnah.

2. Rat einholen Sie zu Informationszwecken die im nächsten Fragment aufgeführten Quellen. X-mal enthalten welche weiterführende Informationen zur aktuellsten Version welcher betreffenden Software sowie zur Verfügbarkeit von Sicherheitspatches oder Hinweise zu Workarounds.

3. Wenden Sie sich im Zusammenhang weiteren Fragen oder Unsicherheiten an Ihren zuständigen Administrator. IT-Sicherheitsverantwortliche sollten regelmäßig prüfen, zu welchem Zeitpunkt welcher von welcher IT-Sicherheitswarnung betroffene Hersteller ein neues Sicherheitsupdate zur Verfügung stellt.

Hersteller-Informationen zu Updates, Patches und Workarounds

An dieser Stelle Ergehen sich weiterführende Sinister mit Informationen darüber hinaus Programmierfehler-Reports, Security-Fixes und Workarounds.

Debian Security Advisory DSA-5285 vom 2022-11-17 (18.11.2022)
Weitere Informationen finden Sie unter: https://lists.debian.org/debian-security-announce/2022/msg00256.html

Debian Security Advisory DLA-3194 vom 2022-11-17 (18.11.2022)
Weitere Informationen finden Sie unter: https://lists.debian.org/debian-lts-announce/2022/11/msg00021.html

Debian Security Advisory DLA-2962 vom 2022-03-28 (29.03.2022)
Weitere Informationen finden Sie unter: https://lists.debian.org/debian-lts-announce/2022/03/msg00035.html

Asterisk Project Security Advisory – AST-2022-006 vom 2022-03-06 (07.03.2022)
Weitere Informationen finden Sie unter: https://downloads.asterisk.org/pub/security/AST-2022-006.html

Asterisk Project Security Advisory – AST-2022-005 vom 2022-03-06 (07.03.2022)
Weitere Informationen finden Sie unter: https://downloads.asterisk.org/pub/security/AST-2022-005.html

Asterisk Project Security Advisory – AST-2022-004 vom 2022-03-06 (07.03.2022)
Weitere Informationen finden Sie unter: https://downloads.asterisk.org/pub/security/AST-2022-004.html

Versionshistorie dieser Sicherheitswarnung

Dies ist die 3. Version des vorliegenden IT-Sicherheitshinweises zum Besten von Asterisk. Sollten weitere Updates bekanntgegeben werden, wird dieser Text aktualisiert. Änderungen oder Ergänzungen können Sie in dieser Versionshistorie nachlesen.

18.11.2022 – Neue Updates von Debian aufgenommen
07.03.2022 – Initiale Steckdose
29.03.2022 – Neue Updates von Debian aufgenommen

+++ Redaktioneller Rauchzeichen: Dieser Text wurde gen Lager aktueller BSI-Wissen KI-gestützt erstellt. Feedback und Anmerkungen nehmen wir unter [email protected] entgegen. +++

Verfolgen Sie News.de schon im Zusammenhang Facebook, Twitter, Pinterest und YouTube? Hier finden Sie brandheiße News, aktuelle Videos und den direkten Leitung zur Redaktion.
roj/news.de