Dies Bundesamt für jedes Sicherheit in welcher Informationstechnik (BSI) hat am 24.04.2023 ein Update zu einer am 20.03.2023 bekanntgewordenen Sicherheitslücke mit mehreren Schwachstellen für jedes cURL hrsg.. Betroffen von welcher Sicherheitslücke sind die Betriebssysteme UNIX, Linux, MacOS X und Windows sowie die Produkte Debian Linux, Amazon Linux 2, Fedora Linux, NetApp Data ONTAP, Ubuntu Linux, SUSE Linux und Open Source cURL.

Die neuesten Hersteller-Empfehlungen zum Thema Updates, Workarounds und Sicherheitspatches für jedes jene Sicherheitslücke finden Sie hier: Debian Security Advisory DLA-3398 (Stand: 21.04.2023). Weitere nützliche Sinister werden weiter unten in diesem Beschränkung aufgeführt.

Mehrere Schwachstellen für jedes cURL – Risiko: mittel

Risikostufe: 3 (mittel)
CVSS Cousine Score: 6,5
CVSS Zeitlich Score: 5,7
Remoteangriff: Ja

Zur Ordnung des Schweregrads von Schwachstellen in Computersystemen wird dies Common Vulnerability Scoring System (CVSS) angewandt. Welcher CVSS-Standard ermöglicht es, potenzielle oder tatsächliche Sicherheitslücken gen Grund verschiedener Kriterien miteinander zu vergleichen, um eine darauf aufbauende Prioritätenliste zur Herbeiführen von Gegenmaßnahmen zu erstellen. Zum Besten von die Schweregrade einer Schwachstelle werden die Attribute „keine“, „tief“, „mittel“, „hoch“ und „unbequem“ verwendet. Welcher Cousine Score bewertet die Voraussetzungen für jedes kombinieren Offensive (u.a. Authentifizierung, Vielschichtigkeit, Privilegien, Userinteraktion) sowie dessen Konsequenzen. Welcher Zeitlich Score berücksichtigt darüber hinaus zeitliche Veränderungen in Form von welcher Gefahrenlage. Dies Risiko welcher hier behandelten Schwachstelle wird nachdem dem CVSS mit einem Cousine Score von 6,5 wie „mittel“ eingestuft.

cURL Programmierfehler: Zusammenfassung welcher bekannten Schwachstellen

cURL ist eine Client-Software, die dies Eintauschen von Dateien mittels mehrerer Protokolle wie z. B. Hypertext Transfer Protocol oder FTP erlaubt.

Ein entfernter, authentisierter Angreifer kann mehrere Schwachstellen in cURL ausnutzen, um Informationen offenzulegen, Sicherheitsvorkehrungen zu umgehen oder unbekannte Auswirkungen zu verursachen.

Klassifiziert wurden die Schwachstellen mithilfe des CVE-Referenziersystems (Common Vulnerabilities and Exposures) durch die individuellen Seriennummern CVE-2023-27538, CVE-2023-27537, CVE-2023-27536, CVE-2023-27535, CVE-2023-27534 und CVE-2023-27533.

Von welcher cURL-Sicherheitslücke betroffene Systeme im Übersicht

Betriebssysteme
UNIX, Linux, MacOS X, Windows

Produkte
Debian Linux (cpe:/o:debian:debian_linux)
Amazon Linux 2 (cpe:/o:amazon:linux_2)
Fedora Linux (cpe:/o:fedoraproject:fedora)
NetApp Data ONTAP (cpe:/a:netapp:data_ontap)
Ubuntu Linux (cpe:/o:canonical:ubuntu_linux)
SUSE Linux (cpe:/o:suse:suse_linux)
Open Source cURL < 8.0.0 (cpe:/a:curl:curl)

Allgemeine Empfehlungen zum Umgang mit IT-Sicherheitslücken

1. User welcher betroffenen Anwendungen sollten jene gen dem aktuellsten Stand halten. Hersteller sind zusammen mit Bekanntwerden von Sicherheitslücken dazu angehalten, jene schnellstmöglich durch Fortgang eines Patches oder eines Workarounds zu beheben. Sollten neue Sicherheitsupdates verfügbar sein, installieren Sie jene zeitnah.

2. Sich beraten lassen Sie zu Informationszwecken die im nächsten Fragment aufgeführten Quellen. Oft enthalten jene weiterführende Informationen zur aktuellsten Version welcher betreffenden Software sowie zur Verfügbarkeit von Sicherheitspatches oder Hinweise zu Workarounds.

3. Wenden Sie sich zusammen mit weiteren Fragen oder Unsicherheiten an Ihren zuständigen Administrator. IT-Sicherheitsverantwortliche sollten regelmäßig prüfen, zu welchem Zeitpunkt dies herstellende Unternehmen ein neues Sicherheitsupdate zur Verfügung stellt.

Hersteller-Informationen zu Updates, Patches und Workarounds

An dieser Stelle entscheiden sich weiterführende Sinister mit Informationen gut Programmierfehler-Reports, Security-Fixes und Workarounds.

Debian Security Advisory DLA-3398 vom 2023-04-21 (24.04.2023)
Weitere Informationen finden Sie unter: https://lists.debian.org/debian-lts-announce/2023/04/msg00025.html

NetApp Security Advisory NTAP-20230420-0012 vom 2023-04-20 (21.04.2023)
Weitere Informationen finden Sie unter: https://security.netapp.com/advisory/ntap-20230420-0012/

NetApp Security Advisory NTAP-20230420-0011 vom 2023-04-20 (21.04.2023)
Weitere Informationen finden Sie unter: https://security.netapp.com/advisory/ntap-20230420-0011/

Amazon Linux Security Advisory ALAS-2023-1729 vom 2023-04-21 (21.04.2023)
Weitere Informationen finden Sie unter: https://alas.aws.amazon.com/ALAS-2023-1729.html

Amazon Linux Security Advisory ALAS-2023-1727 vom 2023-04-21 (21.04.2023)
Weitere Informationen finden Sie unter: https://alas.aws.amazon.com/ALAS-2023-1727.html

SUSE Security Update SUSE-SU-2023:1711-1 vom 2023-03-31 (03.04.2023)
Weitere Informationen finden Sie unter: https://lists.suse.com/pipermail/sle-security-updates/2023-March/014291.html

SUSE Security Update SUSE-SU-2023:1582-1 vom 2023-03-27 (28.03.2023)
Weitere Informationen finden Sie unter: https://lists.suse.com/pipermail/sle-security-updates/2023-March/014166.html

Ubuntu Security Notice USN-5964-2 vom 2023-03-27 (28.03.2023)
Weitere Informationen finden Sie unter: https://ubuntu.com/security/notices/USN-5964-2

Fedora Security Advisory FEDORA-2023-2884BA1528 vom 2023-03-24 (27.03.2023)
Weitere Informationen finden Sie unter: https://bodhi.fedoraproject.org/updates/FEDORA-2023-2884ba1528

Fedora Security Advisory FEDORA-2023-7E7414E64D vom 2023-03-24 (27.03.2023)
Weitere Informationen finden Sie unter: https://bodhi.fedoraproject.org/updates/FEDORA-2023-7e7414e64d

Fedora Security Advisory FEDORA-2023-0DE03A9232 vom 2023-03-24 (27.03.2023)
Weitere Informationen finden Sie unter: https://bodhi.fedoraproject.org/updates/FEDORA-2023-0de03a9232

SUSE Security Update SUSE-SU-2023:0865-1 vom 2023-03-21 (22.03.2023)
Weitere Informationen finden Sie unter: https://lists.suse.com/pipermail/sle-security-updates/2023-March/014128.html

Ubuntu Security Notice USN-5964-1 vom 2023-03-20 (21.03.2023)
Weitere Informationen finden Sie unter: https://ubuntu.com/security/notices/USN-5964-1

Curl 8.0.0 Release Notes vom 2023-03-19 (20.03.2023)
Weitere Informationen finden Sie unter: https://daniel.haxx.se/blog/2023/03/20/curl-8-0-0-is-here/

Curl Security Advisory vom 2023-03-19 (20.03.2023)
Weitere Informationen finden Sie unter: https://curl.se/docs/CVE-2023-27533.html

Curl Security Advisory vom 2023-03-19 (20.03.2023)
Weitere Informationen finden Sie unter: https://curl.se/docs/CVE-2023-27534.html

Curl Security Advisory vom 2023-03-19 (20.03.2023)
Weitere Informationen finden Sie unter: https://curl.se/docs/CVE-2023-27535.html

Curl Security Advisory vom 2023-03-19 (20.03.2023)
Weitere Informationen finden Sie unter: https://curl.se/docs/CVE-2023-27536.html

Curl Security Advisory vom 2023-03-19 (20.03.2023)
Weitere Informationen finden Sie unter: https://curl.se/docs/CVE-2023-27537.html

Curl Security Advisory vom 2023-03-19 (20.03.2023)
Weitere Informationen finden Sie unter: https://curl.se/docs/CVE-2023-27538.html

Versionshistorie dieser Sicherheitswarnung

Dies ist die 8. Version des vorliegenden IT-Sicherheitshinweises für jedes cURL. Im Kontext Publikation weiterer Updates wird dieser Text aktualisiert. Änderungen oder Ergänzungen können Sie in dieser Versionshistorie nachlesen.

20.03.2023 – Initiale Steckdose
21.03.2023 – Neue Updates von Ubuntu aufgenommen
22.03.2023 – Neue Updates von SUSE aufgenommen
27.03.2023 – Neue Updates von Fedora aufgenommen
28.03.2023 – Neue Updates von SUSE und Ubuntu aufgenommen
03.04.2023 – Neue Updates von SUSE aufgenommen
21.04.2023 – Neue Updates von NetApp aufgenommen
24.04.2023 – Neue Updates von Debian aufgenommen

+++ Redaktioneller Zeiger: Dieser Text wurde gen Grund aktueller BSI-Wissen KI-gestützt erstellt. Feedback und Anmerkungen nehmen wir unter [email protected] entgegen. +++

Nachstellen Sie News.de schon zusammen mit Facebook, Twitter, Pinterest und YouTube? Hier finden Sie brandheiße News, aktuelle Videos und den direkten Leiter zur Redaktion.
roj/news.de