Dies Bundesamt zum Besten von Sicherheit in jener Informationstechnik (BSI) hat am 16.11.2022 ein Update zu einer am 27.04.2022 bekanntgewordenen Sicherheitslücke mit mehreren Schwachstellen zum Besten von cURL veröffentlicht. Betroffen von jener Sicherheitslücke sind die Betriebssysteme UNIX und Linux sowie die Produkte Debian Linux, Amazon Linux 2, Red Hat Enterprise Linux, NetApp Data ONTAP, Ubuntu Linux, SUSE Linux, Oracle Linux, HCL BigFix, Open Source cURL und IBM Spectrum Protect.

Die neuesten Hersteller-Empfehlungen in puncto Updates, Workarounds und Sicherheitspatches zum Besten von selbige Sicherheitslücke finden Sie hier: Red Hat Security Advisory RHSA-2022:8299 (Stand: 15.11.2022). Weitere nützliche Quellen werden weiter unten in diesem Kautel aufgeführt.

Mehrere Schwachstellen zum Besten von cURL – Risiko: mittel

Risikostufe: 4 (mittel)
CVSS Kusine Score: 7,7
CVSS Zeitlich Score: 6,7
Remoteangriff: Ja

Zur Einschätzung jener Verwundbarkeit von Computersystemen wird dies Common Vulnerability Scoring System (CVSS) angewandt. Dieser CVSS-Standard ermöglicht es, potenzielle oder tatsächliche Sicherheitslücken gen Fundament verschiedener Kriterien miteinander zu vergleichen, um Gegenmaßnahmen besser vorziehen zu können. Zum Besten von die Schweregrade einer Schwachstelle werden die Attribute „keine“, „tief“, „mittel“, „hoch“ und „ungelegen“ verwendet. Dieser Kusine Score bewertet die Voraussetzungen zum Besten von verknüpfen Offensive (u.a. Authentifizierung, Vielschichtigkeit, Privilegien, Userinteraktion) sowie dessen Konsequenzen. Dieser Zeitlich Score berücksichtigt darüber hinaus zeitliche Veränderungen im Sinne als jener Gefahrenlage. Die Gefährdung jener aktuellen Schwachstelle wird nachdem dem CVSS mit einem Kusine Score von 7,7 qua „mittel“ eingestuft.

cURL Programmfehler: Zusammenfassung jener bekannten Schwachstellen

cURL ist eine Client-Software, die dies Tauschen von Dateien mittels mehrerer Protokolle wie z. B. Hypertext Transfer Protocol oder FTP erlaubt.

Ein entfernter, authentisierter oder anonymer Angreifer kann mehrere Schwachstellen in cURL ausnutzen, um Sicherheitsvorkehrungen zu umgehen oder Informationen offenzulegen.

Die Verwundbarkeit wird mit den individuellen CVE-Seriennummern (Common Vulnerabilities and Exposures) CVE-2022-22576, CVE-2022-27774, CVE-2022-27775 und CVE-2022-27776 gehandelt.

Von jener cURL-Sicherheitslücke betroffene Systeme im Zusammenfassung

Betriebssysteme
UNIX, Linux

Produkte
Debian Linux (cpe:/o:debian:debian_linux)
Amazon Linux 2 (cpe:/o:amazon:linux_2)
Red Hat Enterprise Linux (cpe:/o:redhat:enterprise_linux)
NetApp Data ONTAP (cpe:/a:netapp:data_ontap)
Ubuntu Linux (cpe:/o:canonical:ubuntu_linux)
SUSE Linux (cpe:/o:suse:suse_linux)
Oracle Linux (cpe:/o:oracle:linux)
HCL BigFix (cpe:/a:hcltech:bigfix)
Open Source cURL < 7.83.0 (cpe:/a:curl:curl)
IBM Spectrum Protect Plus (cpe:/a:ibm:spectrum_protect)

Allgemeine Empfehlungen zum Umgang mit IT-Schwachstellen

1. User jener betroffenen Systeme sollten selbige gen dem aktuellsten Stand halten. Hersteller sind im Rahmen Bekanntwerden von Sicherheitslücken dazu angehalten, selbige schnellstmöglich durch Weiterentwicklung eines Patches oder eines Workarounds zu beheben. Sollten Sicherheitspatches verfügbar sein, installieren Sie selbige zeitnah.

2. Sich beraten lassen Sie zu Informationszwecken die im nächsten Stufe aufgeführten Quellen. X-mal enthalten selbige weiterführende Informationen zur aktuellsten Version jener betreffenden Software sowie zur Verfügbarkeit von Sicherheitspatches oder Hinweise zu Workarounds.

3. Wenden Sie sich im Rahmen weiteren Fragen oder Unsicherheiten an Ihren zuständigen Administrator. IT-Sicherheitsverantwortliche sollten regelmäßig prüfen, zu welcher Zeit dies herstellende Unternehmen ein neues Sicherheitsupdate zur Verfügung stellt.

Quellen zu Updates, Patches und Workarounds

An dieser Stelle finden Sie weiterführende Sinister mit Informationen verbleibend Programmfehler-Reports, Security-Fixes und Workarounds.

Red Hat Security Advisory RHSA-2022:8299 vom 2022-11-15 (16.11.2022)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2022:8299

IBM Security Bulletin 6621463 vom 2022-09-20 (20.09.2022)
Weitere Informationen finden Sie unter: https://www.ibm.com/blogs/psirt/security-bulletin-vulnerabilities-in-libcurl-affect-ibm-spectrum-protect-plus-sql-file-indexing-and-windows-host-agents/

Debian Security Advisory DLA-3085 vom 2022-08-29 (29.08.2022)
Weitere Informationen finden Sie unter: https://lists.debian.org/debian-lts-announce/2022/08/msg00017.html

NetApp Security Advisory NTAP-20220609-0008 vom 2022-08-19 (22.08.2022)
Weitere Informationen finden Sie unter: https://security.netapp.com/advisory/ntap-20220609-0008/

Debian Security Advisory DSA-5197 vom 2022-08-01 (02.08.2022)
Weitere Informationen finden Sie unter: https://lists.debian.org/debian-security-announce/2022/msg00166.html

HCL Article KB0098998 vom 2022-07-19 (19.07.2022)
Weitere Informationen finden Sie unter: https://support.hcltechsw.com/csm?id=kb_article&sysparm_article=KB0098998

Oracle Linux Security Advisory ELSA-2022-5313 vom 2022-07-01 (04.07.2022)
Weitere Informationen finden Sie unter: http://linux.oracle.com/errata/ELSA-2022-5313.html

Oracle Linux Security Advisory ELSA-2022-5245 vom 2022-07-01 (04.07.2022)
Weitere Informationen finden Sie unter: http://linux.oracle.com/errata/ELSA-2022-5245.html

Red Hat Security Advisory RHSA-2022:5245 vom 2022-07-01 (01.07.2022)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2022:5245

Red Hat Security Advisory RHSA-2022:5313 vom 2022-07-01 (01.07.2022)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2022:5313

Amazon Linux Security Advisory ALAS-2022-065 vom 2022-05-20 (20.05.2022)
Weitere Informationen finden Sie unter: https://alas.aws.amazon.com/AL2022/ALAS-2022-065.html

SUSE Security Update SUSE-SU-2022:1680-1 vom 2022-05-16 (17.05.2022)
Weitere Informationen finden Sie unter: https://lists.suse.com/pipermail/sle-security-updates/2022-May/011020.html

SUSE Security Update SUSE-SU-2022:1657-1 vom 2022-05-13 (16.05.2022)
Weitere Informationen finden Sie unter: https://lists.suse.com/pipermail/sle-security-updates/2022-May/010999.html

SUSE Security Update SUSE-SU-2022:1564-1 vom 2022-05-07 (09.05.2022)
Weitere Informationen finden Sie unter: https://lists.suse.com/pipermail/sle-security-updates/2022-May/010964.html

Amazon Linux Security Advisory ALAS-2022-055 vom 2022-05-06 (09.05.2022)
Weitere Informationen finden Sie unter: https://alas.aws.amazon.com/AL2022/ALAS-2022-055.html

Amazon Linux Security Advisory ALAS2-2022-1792 vom 2022-05-05 (06.05.2022)
Weitere Informationen finden Sie unter: https://alas.aws.amazon.com/AL2/ALAS-2022-1792.html

Ubuntu Security Notice USN-5397-1 vom 2022-04-28 (29.04.2022)
Weitere Informationen finden Sie unter: https://ubuntu.com/security/notices/USN-5397-1

Fedora Security Advisory FEDORA-2022-3517572083 vom 2022-04-29 (29.04.2022)
Weitere Informationen finden Sie unter: https://bodhi.fedoraproject.org/updates/FEDORA-2022-3517572083

Curl Security Advisory vom 2022-04-27 (27.04.2022)
Weitere Informationen finden Sie unter: https://curl.se/docs/CVE-2022-22576.html

Curl Security Advisory vom 2022-04-27 (27.04.2022)
Weitere Informationen finden Sie unter: https://curl.se/docs/CVE-2022-27776.html

Curl Security Advisory vom 2022-04-27 (27.04.2022)
Weitere Informationen finden Sie unter: https://curl.se/docs/CVE-2022-27775.html

Curl Security Advisory vom 2022-04-27 (27.04.2022)
Weitere Informationen finden Sie unter: https://curl.se/docs/CVE-2022-27774.html

Versionshistorie dieser Sicherheitswarnung

Dies ist die 17. Version des vorliegenden IT-Sicherheitshinweises zum Besten von cURL. Nebst Veröffentlichung weiterer Updates wird dieser Text aktualisiert. Die vorgenommenen Änderungen können Sie durch jener folgenden Versionshistorie reproduzieren.

16.11.2022 – Neue Updates von Red Hat aufgenommen
17.05.2022 – Neue Updates von SUSE aufgenommen
27.04.2022 – Initiale Halterung
29.04.2022 – Neue Updates von Fedora und Ubuntu aufgenommen
06.05.2022 – Neue Updates von Amazon aufgenommen
09.05.2022 – Neue Updates von Amazon und SUSE aufgenommen
20.05.2022 – Neue Updates von Amazon aufgenommen
12.05.2022 – Verweis(en) aufgenommen: FEDORA-2022-8277BEF335
16.05.2022 – Neue Updates von SUSE aufgenommen
01.07.2022 – Neue Updates von Red Hat aufgenommen
04.07.2022 – Neue Updates von Oracle Linux aufgenommen
19.07.2022 – Neue Updates von HCL aufgenommen
02.08.2022 – Neue Updates von Debian aufgenommen
22.08.2022 – Neue Updates von NetApp aufgenommen
29.08.2022 – Neue Updates von Debian aufgenommen
02.09.2022 – Verweis(en) aufgenommen: FEDORA-2022-BCA2C95559
20.09.2022 – Neue Updates von IBM aufgenommen

+++ Redaktioneller Zeiger: Dieser Text wurde gen Fundament aktueller BSI-Information KI-gestützt erstellt. Feedback und Anmerkungen nehmen wir unter [email protected] entgegen. +++

Gehorchen Sie News.de schon im Rahmen Facebook, Twitter, Pinterest und YouTube? Hier finden Sie brandheiße News, aktuelle Videos und den direkten Leiterbahn zur Redaktion.
roj/news.de