Technologie

#expat: Sicherheitswarnung vor mehreren IT-Schwachstellen

„expat: Sicherheitswarnung vor mehreren IT-Schwachstellen“

Zu Gunsten von expat wurde ein Update zur IT-Sicherheitswarnung einer bekannten Schwachstelle veröffentlicht. Welche Betriebssysteme und Produkte von den Sicherheitslücken betroffen sind, Vorlesung halten Sie hier aufwärts news.de.

Dasjenige Bundesamt zu Händen Sicherheit in jener Informationstechnik (BSI) hat am 13.10.2022 ein Update zu einer am 18.01.2022 bekanntgewordenen Sicherheitslücke mit mehreren Schwachstellen zu Händen expat hrsg.. Betroffen von jener Sicherheitslücke sind die Betriebssysteme UNIX, Linux, Windows, NetApp Appliance und Applicance sowie die Produkte Debian Linux, Amazon Linux 2, Red Hat Enterprise Linux, NetApp Data ONTAP, Autodesk AutoCAD, Avaya CMS, Ubuntu Linux, F5 BIG-IP, SUSE Linux, Machandel Junos Space, Oracle Linux, Gentoo Linux, Avaya magische Kraft Communication Manager, Avaya magische Kraft Sitzung Manager, Avaya magische Kraft Application Enablement Services, Avaya magische Kraft Device Services, Avaya magische Kraft System Manager, Avaya magische Kraft Experience Tunneleingang, Avaya Sitzung Border Controller, Avaya Breeze Platform, IGEL OS, HCL Commerce, Open Source expat und Tenable Security Nessus.

Mehrere Schwachstellen zu Händen expat – Risiko: mittel

Risikostufe: 4 (mittel)
CVSS Cousine Score: 7,4
CVSS Zeitlich Score: 6,4
Remoteangriff: Ja

Zur Einschätzung jener Verwundbarkeit von Computersystemen wird dasjenige Common Vulnerability Scoring System (CVSS) angewandt. Dieser CVSS-Standard ermöglicht es, potenzielle oder tatsächliche Sicherheitslücken aufwärts Lager verschiedener Kriterien miteinander zu vergleichen, um eine darauf aufbauende Prioritätenliste zur Herbeiführen von Gegenmaßnahmen zu erstellen. Zu Gunsten von die Schweregrade einer Schwachstelle werden die Attribute „keine“, „tief“, „mittel“, „hoch“ und „ungelegen“ verwendet. Dieser Cousine Score bewertet die Voraussetzungen zu Händen zusammensetzen Offensive (u.a. Authentifizierung, Schwierigkeit, Privilegien, Userinteraktion) sowie dessen Konsequenzen. Beim Zeitlich Score fließen droben die Zeit veränderbare Rahmenbedingungen in die Priorisierung ein. Dasjenige Risiko jener aktuellen Schwachstelle wird nachher dem CVSS mit einem Cousine Score von 7,4 qua „mittel“ eingestuft.

expat Programmfehler: Erläuterung des Angriffs

Expatriate ist ein XML Parser, jener in jener Programmiersprache-Kohlenstoff geschrieben ist.

Ein entfernter, anonymer Angreifer kann mehrere Schwachstellen in expat ausnutzen, um zusammensetzen Denial of Tafelgeschirr Offensive durchzuführen oder potentiell Identifikationsnummer zur Exekution zu herbringen.

Klassifiziert wurden die Schwachstellen mithilfe des CVE-Referenziersystems (Common Vulnerabilities and Exposures) durch die individuellen Seriennummern CVE-2021-45960, CVE-2021-46143, CVE-2022-22822, CVE-2022-22823, CVE-2022-22824, CVE-2022-22825, CVE-2022-22826 und CVE-2022-22827.

Von jener expat-Sicherheitslücke betroffene Systeme im Zusammenfassung

Betriebssysteme
UNIX, Linux, Windows, NetApp Appliance, Applicance

Produkte
Debian Linux (cpe:/o:debian:debian_linux)
Amazon Linux 2 (cpe:/o:amazon:linux_2)
Red Hat Enterprise Linux (cpe:/o:redhat:enterprise_linux)
NetApp Data ONTAP (cpe:/a:netapp:data_ontap)
Autodesk AutoCAD (cpe:/a:autodesk:autocad)
Avaya CMS (cpe:/a:avaya:call_management_system_server)
Ubuntu Linux (cpe:/o:canonical:ubuntu_linux)
F5 BIG-IP (cpe:/a:f5:big-ip)
SUSE Linux (cpe:/o:suse:suse_linux)
Machandel Junos Space < 22.2R1 (cpe:/a:juniper:junos_space)
Oracle Linux (cpe:/o:oracle:linux)
Gentoo Linux (cpe:/o:gentoo:linux)
Avaya magische Kraft Communication Manager (cpe:/a:avaya:communication_manager)
Avaya magische Kraft Sitzung Manager (cpe:/a:avaya:session_manager)
Avaya magische Kraft Application Enablement Services (cpe:/a:avaya:aura_application_enablement_services)
Avaya magische Kraft Device Services (cpe:/a:avaya:aura_device_services)
Avaya magische Kraft System Manager (cpe:/a:avaya:aura_system_manager)
Avaya magische Kraft Experience Tunneleingang (cpe:/a:avaya:aura_experience_portal)
Avaya Sitzung Border Controller (cpe:/h:avaya:session_border_controller)
Avaya Breeze Platform (cpe:/a:avaya:breeze_platform)
IGEL OS (cpe:/o:igel:os)
HCL Commerce (cpe:/a:hcltechsw:commerce)
Open Source expat < 2.4.3 (cpe:/a:expat:expat)
Tenable Security Nessus < 10.1.1 (cpe:/a:tenable:nessus)
Tenable Security Nessus < 8.15.3 (cpe:/a:tenable:nessus)

Allgemeine Maßnahmen zum Umgang mit IT-Sicherheitslücken

  1. User jener betroffenen Anwendungen sollten jene aufwärts dem aktuellsten Stand halten. Hersteller sind im Zusammenhang Bekanntwerden von Sicherheitslücken dazu angehalten, jene schnellstmöglich durch Kreation eines Patches oder eines Workarounds zu beheben. Sollten Sicherheitspatches verfügbar sein, installieren Sie jene zeitnah.

  2. Sich beraten lassen Sie zu Informationszwecken die im nächsten Bereich aufgeführten Quellen. Mehrfach enthalten jene weiterführende Informationen zur aktuellsten Version jener betreffenden Software sowie zur Verfügbarkeit von Sicherheitspatches oder Hinweise zu Workarounds.

  3. Wenden Sie sich im Zusammenhang weiteren Fragen oder Unsicherheiten an Ihren zuständigen Administrator. IT-Sicherheitsverantwortliche sollten regelmäßig prüfen, zu welcher Zeit dasjenige herstellende Unternehmen ein neues Sicherheitsupdate zur Verfügung stellt.

Quellen zu Updates, Patches und Workarounds

An dieser Stelle finden Sie weiterführende Sinister mit Informationen droben Programmfehler-Reports, Security-Fixes und Workarounds.

Machandel Security Bulletin (13.10.2022)
Weitere Informationen finden Sie unter: https://supportportal.juniper.net/s/article/2022-10-Security-Bulletin-Junos-Space-Multiple-vulnerabilities-resolved-in-22-2R1-release

Gentoo Linux Security Advisory GLSA-202209-24 vom 2022-09-29 (30.09.2022)
Weitere Informationen finden Sie unter: https://security.gentoo.org/glsa/202209-24

Autodesk Security Advisory ADSK-SA-2022-0017 vom 2022-08-02 (02.08.2022)
Weitere Informationen finden Sie unter: https://www.autodesk.com/trust/security-advisories/adsk-sa-2022-0017

Amazon Linux Security Advisory ALAS-2022-1809 vom 2022-07-15 (15.07.2022)
Weitere Informationen finden Sie unter: https://alas.aws.amazon.com/AL2/ALAS-2022-1809.html

Amazon Linux Security Advisory ALAS-2022-1603 vom 2022-07-07 (08.07.2022)
Weitere Informationen finden Sie unter: https://alas.aws.amazon.com/ALAS-2022-1603.html

Amazon Linux Security Advisory ALAS-2022-1588 vom 2022-06-10 (10.06.2022)
Weitere Informationen finden Sie unter: https://alas.aws.amazon.com/ALAS-2022-1588.html

AVAYA Security Advisory ASA-2022-067 vom 2022-05-16 (18.05.2022)
Weitere Informationen finden Sie unter: https://downloads.avaya.com/css/P8/documents/101081824

IGEL Security Notice ISN-2022-12 vom 2022-05-10 (11.05.2022)
Weitere Informationen finden Sie unter: https://kb.igel.com/securitysafety/en/isn-2022-12-teradici-pcoip-library-vulnerabilities-57343640.html

F5 Security Advisory K23231802 vom 2022-05-01 (02.05.2022)
Weitere Informationen finden Sie unter: https://support.f5.com/csp/article/K23231802

F5 Security Advisory K91589041 vom 2022-05-01 (02.05.2022)
Weitere Informationen finden Sie unter: https://support.f5.com/csp/article/K91589041

F5 Security Advisory K23421535 vom 2022-05-01 (02.05.2022)
Weitere Informationen finden Sie unter: https://support.f5.com/csp/article/K23421535

Amazon Linux Security Advisory ALAS-2022-1788 vom 2022-04-27 (28.04.2022)
Weitere Informationen finden Sie unter: https://alas.aws.amazon.com/AL2/ALAS-2022-1788.html

HCL Article KB0097787 vom 2022-04-28 (28.04.2022)
Weitere Informationen finden Sie unter: https://support.hcltechsw.com/csm?id=kb_article&sysparm_article=KB0097787

Red Hat Security Advisory RHSA-2022:1476 vom 2022-04-21 (22.04.2022)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2022:1476

Oracle Linux Security Advisory ELSA-2022-1069 vom 2022-03-28 (29.03.2022)
Weitere Informationen finden Sie unter: http://linux.oracle.com/errata/ELSA-2022-1069.html

Red Hat Security Advisory RHSA-2022:1069 vom 2022-03-28 (29.03.2022)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2022:1069

AVAYA Security Advisory ASA-2022-031 vom 2022-03-17 (21.03.2022)
Weitere Informationen finden Sie unter: https://downloads.avaya.com/css/P8/documents/101080937

Oracle Linux Security Advisory ELSA-2022-0951 vom 2022-03-17 (18.03.2022)
Weitere Informationen finden Sie unter: http://linux.oracle.com/errata/ELSA-2022-0951.html

Oracle Linux Security Advisory ELSA-2022-9227 vom 2022-03-17 (18.03.2022)
Weitere Informationen finden Sie unter: http://linux.oracle.com/errata/ELSA-2022-9227.html

Red Hat Security Advisory RHSA-2022:0951 vom 2022-03-16 (17.03.2022)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2022:0951

Ubuntu Security Notice USN-5320-1 vom 2022-03-10 (11.03.2022)
Weitere Informationen finden Sie unter: https://ubuntu.com/security/notices/USN-5320-1

NetApp Security Advisory NTAP-20220131-0004 vom 2022-03-08 (09.03.2022)
Weitere Informationen finden Sie unter: https://security.netapp.com/advisory/ntap-20220131-0004/

Ubuntu Security Notice USN-5288-1 vom 2022-02-21 (22.02.2022)
Weitere Informationen finden Sie unter: https://ubuntu.com/security/notices/USN-5288-1

Debian Security Advisory DSA-5073 vom 2022-02-12 (14.02.2022)
Weitere Informationen finden Sie unter: https://lists.debian.org/debian-security-announce/2022/msg00040.html

Tenable Security Advisory TNS-2022-05 vom 2022-02-09 (09.02.2022)
Weitere Informationen finden Sie unter: https://www.tenable.com/plugins/nessus/157425

Amazon Linux Security Advisory ALAS-2022-017 vom 2022-02-03 (04.02.2022)
Weitere Informationen finden Sie unter: https://alas.aws.amazon.com/AL2022/ALAS-2022-017.html

Debian Security Advisory DLA-2904 vom 2022-01-30 (31.01.2022)
Weitere Informationen finden Sie unter: https://lists.debian.org/debian-lts-announce/2022/01/msg00032.html

SUSE Security Update SUSE-SU-2022:0178-1 vom 2022-01-25 (26.01.2022)
Weitere Informationen finden Sie unter: https://lists.suse.com/pipermail/sle-security-updates/2022-January/010063.html

SUSE Security Update SUSE-SU-2022:0179-1 vom 2022-01-25 (26.01.2022)
Weitere Informationen finden Sie unter: https://lists.suse.com/pipermail/sle-security-updates/2022-January/010069.html

SUSE Security Update SUSE-SU-2022:14878-1 vom 2022-01-25 (26.01.2022)
Weitere Informationen finden Sie unter: https://lists.suse.com/pipermail/sle-security-updates/2022-January/010066.html

NetApp Security Advisory NTAP-20220121-0006 vom 2022-01-21 (21.01.2022)
Weitere Informationen finden Sie unter: https://security.netapp.com/advisory/ntap-20220121-0006/

Item in jener OSS Mailing-list vom 2022-01-17 (18.01.2022)
Weitere Informationen finden Sie unter: http://seclists.org/oss-sec/2022/q1/47

Lipexpat Github vom 2022-01-17 (18.01.2022)
Weitere Informationen finden Sie unter: https://github.com/libexpat/libexpat/blob/R_2_4_3/expat/Changes

Versionshistorie dieser Sicherheitswarnung

Dies ist die 25. Version des vorliegenden IT-Sicherheitshinweises zu Händen expat. Zwischen Veröffentlichung weiterer Updates wird dieser Text aktualisiert. Änderungen oder Ergänzungen können Sie in dieser Versionshistorie nachlesen.

13.10.2022 – Neue Updates aufgenommen
30.09.2022 – Neue Updates von Gentoo aufgenommen
02.08.2022 – Neue Updates von Autodesk aufgenommen
15.07.2022 – Neue Updates von Amazon aufgenommen
08.07.2022 – Neue Updates von Amazon aufgenommen
10.06.2022 – Neue Updates von Amazon aufgenommen
18.05.2022 – Neue Updates von AVAYA aufgenommen
11.05.2022 – Neue Updates von IGEL aufgenommen
02.05.2022 – Neue Informationen von F5 aufgenommen
28.04.2022 – Neue Updates von Amazon und HCL aufgenommen
22.04.2022 – Neue Updates von Red Hat aufgenommen
29.03.2022 – Neue Updates von Oracle Linux und Red Hat aufgenommen
21.03.2022 – Neue Updates von AVAYA aufgenommen
18.03.2022 – Neue Updates von Oracle Linux aufgenommen
17.03.2022 – Neue Updates von Red Hat aufgenommen
11.03.2022 – Neue Updates von Ubuntu aufgenommen
09.03.2022 – Neue Updates von NetApp aufgenommen
22.02.2022 – Neue Updates von Ubuntu aufgenommen
14.02.2022 – Neue Updates von Debian aufgenommen
09.02.2022 – Neue Updates von Tenable aufgenommen
04.02.2022 – Neue Updates von Amazon aufgenommen
31.01.2022 – Neue Updates von Debian aufgenommen
26.01.2022 – Neue Updates von SUSE aufgenommen
21.01.2022 – Neue Updates von NetApp aufgenommen
18.01.2022 – Initiale Halterung

+++ Redaktioneller Zeiger: Dieser Text wurde aufwärts Lager aktueller BSI-Datenansammlung KI-gestützt erstellt. Feedback und Anmerkungen nehmen wir unter [email protected] entgegen. +++

Nachsteigen Sie News.de schon im Zusammenhang Facebook, Twitter, Pinterest und YouTube? Hier finden Sie brandheiße News, aktuelle Videos und den direkten Leiterbahn zur Redaktion.
roj/news.de

Quelle

Ähnliche Artikel

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Schaltfläche "Zurück zum Anfang"