Dasjenige Bundesamt pro Sicherheit in welcher Informationstechnik (BSI) hat am 15.12.2023 zusammensetzen Sicherheitshinweis pro Digium Certified Asterisk veröffentlicht. Die Software enthält mehrere Schwachstellen, die zusammensetzen Übergriff geben. Betroffen von welcher Sicherheitslücke sind die Betriebssysteme UNIX, Linux und Windows sowie die Produkte Digium Certified Asterisk und Open Source Asterisk.

Die neuesten Hersteller-Empfehlungen wegen Updates, Workarounds und Sicherheitspatches pro selbige Sicherheitslücke finden Sie hier: GitHub Asterisk (Stand: 14.12.2023). Weitere nützliche Sinister werden weiter unten in diesem Begleiter aufgeführt.

Mehrere Schwachstellen pro Digium Certified Asterisk gemeldet – Risiko: mittel

Risikostufe: 3 (mittel)
CVSS Kusine Score: 7,5
CVSS Zeitlich Score: 6,7
Remoteangriff: Ja

Zur Ordnung welcher Verwundbarkeit von Computersystemen wird dies Common Vulnerability Scoring System (CVSS) angewandt. Welcher CVSS-Standard ermöglicht es, potenzielle oder tatsächliche Sicherheitslücken gen Sockel verschiedener Metriken miteinander zu vergleichen, um Gegenmaßnahmen besser vorziehen zu können. Zu Händen die Schweregrade einer Schwachstelle werden die Attribute „keine“, „tief“, „mittel“, „hoch“ und „ungelegen“ verwendet. Welcher Kusine Score bewertet die Voraussetzungen pro zusammensetzen Übergriff (u.a. Authentifizierung, Vielschichtigkeit, Privilegien, Userinteraktion) sowie dessen Konsequenzen. Beim Zeitlich Score fließen via die Zeit veränderbare Rahmenbedingungen in die Ordnung ein. Welcher Schweregrad welcher hier behandelten Schwachstelle wird nachdem dem CVSS mit einem Kusine Score von 7,5 denn „mittel“ eingestuft.

Digium Certified Asterisk Programmfehler: Schwachstellen und CVE-Nummern

Certified Asterisk ist eine komplette Multiprotokoll Telefonanlage (PBX) gen Softwarebasis mit erweitertem Support.Asterisk ist eine komplette Open Source Multiprotokoll Telefonanlage (PBX) gen Softwarebasis.

Ein entfernter, anonymer Angreifer kann mehrere Schwachstellen in Digium Certified Asterisk und Asterisk ausnutzen, um zusammensetzen Denial of Tafelgeschirr Übergriff durchzuführen oder Informationen offenzulegen.

Klassifiziert wurden die Schwachstellen mithilfe des CVE-Bezeichnungssystems (Common Vulnerabilities and Exposures) durch die individuellen Seriennummern CVE-2023-37457, CVE-2023-49294 und CVE-2023-49786.

Von welcher Sicherheitslücke betroffene Systeme im Syllabus

Betriebssysteme
UNIX, Linux, Windows

Produkte
Digium Certified Asterisk < 18.9-cert6 (cpe:/a:digium:certified_asterisk)
Open Source Asterisk < 18.20.1 (cpe:/a:digium:asterisk)
Open Source Asterisk < 20.5.1 (cpe:/a:digium:asterisk)
Open Source Asterisk < 21.0.1 (cpe:/a:digium:asterisk)

Allgemeine Maßnahmen zum Umgang mit IT-Sicherheitslücken

1. Benutzer welcher betroffenen Systeme sollten selbige gen dem aktuellsten Stand halten. Hersteller sind für Bekanntwerden von Sicherheitslücken dazu angehalten, selbige schnellstmöglich durch Entwicklungsprozess eines Patches oder eines Workarounds zu beheben. Sollten Sicherheitspatches verfügbar sein, installieren Sie selbige zeitnah.
2. Rat einholen Sie zu Informationszwecken die im nächsten Bruchstück aufgeführten Quellen. X-fach enthalten selbige weiterführende Informationen zur aktuellsten Version welcher betreffenden Software sowie zur Verfügbarkeit von Sicherheitspatches oder Hinweise zu Workarounds.
3. Wenden Sie sich für weiteren Fragen oder Unsicherheiten an Ihren zuständigen Administrator. IT-Sicherheitsverantwortliche sollten die genannten Quellen regelmäßig daraufhin prüfen, ob ein neues Sicherheitsupdate zur Verfügung steht.

Quellen zu Updates, Patches und Workarounds

An dieser Stelle entscheiden sich weiterführende Sinister mit Informationen via Programmfehler-Reports, Security-Fixes und Workarounds.

GitHub Asterisk vom 2023-12-14 (15.12.2023)
Weitere Informationen finden Sie unter: https://github.com/asterisk/asterisk/security/advisories/GHSA-hxj9-xwr8-w8pq

GitHub Asterisk vom 2023-12-14 (15.12.2023)
Weitere Informationen finden Sie unter: https://github.com/asterisk/asterisk/security/advisories/GHSA-8857-hfmw-vg8f

GitHub Asterisk vom 2023-12-14 (15.12.2023)
Weitere Informationen finden Sie unter: https://github.com/asterisk/asterisk/security/advisories/GHSA-98rc-4j27-74hh

RedHat Bugzilla vom 2023-12-14 (15.12.2023)
Weitere Informationen finden Sie unter: https://bugzilla.redhat.com/show_bug.cgi?id=2254625

Versionshistorie dieser Sicherheitswarnung

Dies ist die initiale Halterung des vorliegenden IT-Sicherheitshinweises pro Digium Certified Asterisk. Sollten Updates bekanntgegeben werden, wird dieser Text aktualisiert. Die vorgenommenen Änderungen können Sie per welcher folgenden Versionshistorie reproduzieren.

15.12.2023 – Initiale Halterung

+++ Redaktioneller Kennziffer: Dieser Text wurde gen Sockel aktueller BSI-Wissen KI-gestützt erstellt. Feedback und Anmerkungen nehmen wir unter [email protected] entgegen. +++

Hinterher gehen Sie News.de schon für Facebook, Twitter, Pinterest und YouTube? Hier finden Sie brandheiße News, aktuelle Videos und den direkten Leiter zur Redaktion.

Bearbeitet durch kns
roj/news.de