Dasjenige Bundesamt pro Sicherheit in welcher Informationstechnik (BSI) hat am 20.10.2023 ein Update zu einer am 03.02.2021 bekanntgewordenen Sicherheitslücke mit mehreren Schwachstellen pro docker veröffentlicht. Betroffen von welcher Sicherheitslücke sind die Betriebssysteme UNIX, Linux, MacOS X und Windows sowie die Produkte Debian Linux, Amazon Linux 2, SUSE Linux, Gentoo Linux, Open Source Arch Linux und Open Source docker.

Die neuesten Hersteller-Empfehlungen hinsichtlich Updates, Workarounds und Sicherheitspatches pro sie Sicherheitslücke finden Sie hier: Amazon Linux Security Advisory ALASECS-2023-015 (Stand: 20.10.2023). Weitere nützliche Quellen werden weiter unten in diesem Handelsgut aufgeführt.

Mehrere Schwachstellen pro docker – Risiko: hoch

Risikostufe: 5 (hoch)
CVSS Kusine Score: 8,0
CVSS Zeitlich Score: 7,0
Remoteangriff: Ja

Zur Ordnung des Schweregrads von Sicherheitsanfälligkeiten in Computersystemen wird dies Common Vulnerability Scoring System (CVSS) angewandt. Welcher CVSS-Standard ermöglicht es, potenzielle oder tatsächliche Sicherheitslücken aufwärts Fundament verschiedener Kriterien miteinander zu vergleichen, um Gegenmaßnahmen besser vorziehen zu können. Z. Hd. die Schweregrade einer Schwachstelle werden die Attribute „keine“, „tief“, „mittel“, „hoch“ und „ungelegen“ verwendet. Welcher Kusine Score bewertet die Voraussetzungen pro verdongeln Übergriff (u.a. Authentifizierung, Varianz, Privilegien, Userinteraktion) sowie dessen Konsequenzen. Beim Zeitlich Score fließen hoch die Zeit veränderbare Rahmenbedingungen in die Ordnung ein. Welcher Schweregrad welcher aktuellen Schwachstelle wird nachdem dem CVSS mit einem Kusine Score von 8,0 wie „hoch“ eingestuft.

docker Programmierfehler: Schwachstellen und CVE-Nummern

Docker ist eine Open-Source-Software, die dazu verwendet werden kann, Anwendungen mithilfe von Betriebssystemvirtualisierung in Containern zu isolieren.

Ein entfernter, authentisierter Angreifer kann mehrere Schwachstellen in docker ausnutzen, um seine Privilegien zu potenzieren und um verdongeln Denial of Tafelgeschirr Übergriff durchzuführen.

Die Verwundbarkeit wird mit den eindeutigen CVE-Seriennummern (Common Vulnerabilities and Exposures) CVE-2021-21284 und CVE-2021-21285 gehandelt.

Von welcher docker-Sicherheitslücke betroffene Systeme im Gesamtschau

Betriebssysteme
UNIX, Linux, MacOS X, Windows

Produkte
Debian Linux (cpe:/o:debian:debian_linux)
Amazon Linux 2 (cpe:/o:amazon:linux_2)
SUSE Linux (cpe:/o:suse:suse_linux)
Gentoo Linux (cpe:/o:gentoo:linux)
Open Source Arch Linux (cpe:/o:archlinux:archlinux)
Open Source docker < 20.10.3 (cpe:/a:docker:docker)
Open Source docker < 19.03.15 (cpe:/a:docker:docker)

Allgemeine Empfehlungen zum Umgang mit IT-Schwachstellen

1. User welcher betroffenen Anwendungen sollten sie aufwärts dem aktuellsten Stand halten. Hersteller sind zusammen mit Bekanntwerden von Sicherheitslücken dazu angehalten, sie schnellstmöglich durch Entwicklungsverlauf eines Patches oder eines Workarounds zu beheben. Sollten neue Sicherheitsupdates verfügbar sein, installieren Sie sie zeitnah.
2. Sich beraten lassen Sie zu Informationszwecken die im nächsten Bereich aufgeführten Quellen. Oftmals enthalten sie weiterführende Informationen zur aktuellsten Version welcher betreffenden Software sowie zur Verfügbarkeit von Sicherheitspatches oder Hinweise zu Workarounds.
3. Wenden Sie sich zusammen mit weiteren Fragen oder Unsicherheiten an Ihren zuständigen Administrator. IT-Sicherheitsverantwortliche sollten die genannten Quellen regelmäßig daraufhin prüfen, ob ein neues Sicherheitsupdate zur Verfügung steht.

Hersteller-Informationen zu Updates, Patches und Workarounds

An dieser Stelle entscheiden sich weiterführende Sinister mit Informationen hoch Programmierfehler-Reports, Security-Fixes und Workarounds.

Amazon Linux Security Advisory ALASECS-2023-015 vom 2023-10-20 (20.10.2023)
Weitere Informationen finden Sie unter: https://alas.aws.amazon.com/AL2/ALASECS-2023-015.html

Amazon Linux 2 Security Advisory (09.12.2021)
Weitere Informationen finden Sie unter: https://alas.aws.amazon.com/AL2/ALASDOCKER-2021-001.html

Amazon Linux Security Advisory ALAS-2021-1550 vom 2021-11-15 (16.11.2021)
Weitere Informationen finden Sie unter: https://alas.aws.amazon.com/ALAS-2021-1550.html

Gentoo Linux Security Advisory GLSA-202107-23 vom 2021-07-10 (12.07.2021)
Weitere Informationen finden Sie unter: https://security.gentoo.org/glsa/202107-23

SUSE Security Update SUSE-SU-2021:1954-1 vom 2021-06-11 (14.06.2021)
Weitere Informationen finden Sie unter: https://lists.suse.com/pipermail/sle-security-updates/2021-June/008994.html

SUSE Security Update SUSE-SU-2021:1458-1 vom 2021-04-30 (03.05.2021)
Weitere Informationen finden Sie unter: https://lists.suse.com/pipermail/sle-security-updates/2021-Vierter Monat des Jahres/008717.html

Debian Security Advisory DSA-4865 vom 2021-02-28 (01.03.2021)
Weitere Informationen finden Sie unter: https://www.debian.org/security/2021/dsa-4865

SUSE Security Update SUSE-SU-2021:0445-1 vom 2021-02-12 (15.02.2021)
Weitere Informationen finden Sie unter: https://lists.suse.com/pipermail/sle-security-updates/2021-February/008318.html

SUSE Security Update SUSE-SU-2021:0435-1 vom 2021-02-11 (12.02.2021)
Weitere Informationen finden Sie unter: https://lists.suse.com/pipermail/sle-security-updates/2021-February/008311.html

Arch Linux Security Advisory ASA-202102-12 vom 2021-02-06 (08.02.2021)
Weitere Informationen finden Sie unter: https://security.archlinux.org/ASA-202102-12

Github Advisory GHSA-6fj5-m822-rqx8 vom 2021-02-02 (03.02.2021)
Weitere Informationen finden Sie unter: https://github.com/moby/moby/security/advisories/GHSA-6fj5-m822-rqx8

Github Advisory GHSA-7452-xqpj-6rpc vom 2021-02-02 (03.02.2021)
Weitere Informationen finden Sie unter: https://github.com/moby/moby/security/advisories/GHSA-7452-xqpj-6rpc

Versionshistorie dieser Sicherheitswarnung

Dies ist die 11. Version des vorliegenden IT-Sicherheitshinweises pro docker. Sollten weitere Updates bekanntgegeben werden, wird dieser Text aktualisiert. Die vorgenommenen Änderungen können Sie mithilfe welcher folgenden Versionshistorie wiederholen.

03.02.2021 – Initiale Steckdose
08.02.2021 – Neue Updates von Arch Linux aufgenommen
12.02.2021 – Neue Updates von SUSE aufgenommen
15.02.2021 – Neue Updates von SUSE aufgenommen
01.03.2021 – Neue Updates von Debian aufgenommen
03.05.2021 – Neue Updates von SUSE aufgenommen
14.06.2021 – Neue Updates von SUSE aufgenommen
12.07.2021 – Neue Updates von Gentoo aufgenommen
16.11.2021 – Neue Updates von Amazon aufgenommen
09.12.2021 – Neue Updates von Amazon aufgenommen
20.10.2023 – Neue Updates von Amazon aufgenommen

+++ Redaktioneller Signal: Dieser Text wurde aufwärts Fundament aktueller BSI-Datenmaterial KI-gestützt erstellt. Feedback und Anmerkungen nehmen wir unter [email protected] entgegen. +++

Verfolgen Sie News.de schon zusammen mit Facebook, Twitter, Pinterest und YouTube? Hier finden Sie brandheiße News, aktuelle Videos und den direkten Leiterbahn zur Redaktion.
roj/news.de