Dies Bundesamt zu Händen Sicherheit in dieser Informationstechnik (BSI) hat am 16.06.2023 ein Update zu einer am 04.10.2022 bekanntgewordenen Sicherheitslücke zu Händen FasterXML Jackson veröffentlicht. Betroffen von dieser Sicherheitslücke sind die Betriebssysteme UNIX, Linux und Windows sowie die Produkte Debian Linux, IBM Maximo Sonderausstattung Management, IBM DB2, Red Hat Enterprise Linux, F5 BIG-IP, SUSE Linux, IBM Tivoli Netcool/OMNIbus, Red Hat OpenShift, IBM MQ, FasterXML Jackson, SOS GmbH JobScheduler, IBM Spectrum Protect, IBM Business Automatisierung Workflow, IBM Content Manager und IBM FileNet Content Manager.

Die neuesten Hersteller-Empfehlungen bzgl. Updates, Workarounds und Sicherheitspatches zu Händen jene Sicherheitslücke finden Sie hier: Red Hat Security Advisory RHSA-2023:3641 (Stand: 15.06.2023). Weitere nützliche Quellen werden weiter unten in diesem Versteckspiel aufgeführt.

Sicherheitshinweis zu Händen FasterXML Jackson – Risiko: mittel

Risikostufe: 3 (mittel)
CVSS Cousine Score: 7,5
CVSS Zeitlich Score: 6,5
Remoteangriff: Ja

Zur Ordnung des Schweregrads von Schwachstellen in Computersystemen wird dasjenige Common Vulnerability Scoring System (CVSS) angewandt. Welcher CVSS-Standard ermöglicht es, potenzielle oder tatsächliche Sicherheitslücken aufwärts Sockel verschiedener Kriterien miteinander zu vergleichen, um eine darauf aufbauende Prioritätenliste zur Präambel von Gegenmaßnahmen zu erstellen. Zu Händen die Schweregrade einer Schwachstelle werden die Attribute „keine“, „tief“, „mittel“, „hoch“ und „unbequem“ verwendet. Welcher Cousine Score bewertet die Voraussetzungen zu Händen zusammenführen Überfall (u.a. Authentifizierung, Vielschichtigkeit, Privilegien, Userinteraktion) sowie dessen Konsequenzen. Beim Zeitlich Score fließen darüber hinaus die Zeit veränderbare Rahmenbedingungen in die Ordnung ein. Die Gefährdung dieser hier behandelten Schwachstelle wird nachher dem CVSS mit einem Cousine Score von 7,5 denn „mittel“ eingeschätzt.

FasterXML Jackson Programmfehler: Mehrere Schwachstellen zuteil werden lassen Denial of Tafelgeschirr

Jackson ist eine quelloffene Bibliothek zur JSON-Weiterverarbeitung in Java.

Ein Angreifer kann mehrere Schwachstellen in FasterXML Jackson ausnutzen, um zusammenführen Denial of Tafelgeschirr Überfall durchzuführen.

Klassifiziert wurden die Schwachstellen mithilfe des CVE-Referenziersystems (Common Vulnerabilities and Exposures) durch die individuellen Seriennummern CVE-2022-42003 und CVE-2022-42004.

Von dieser Sicherheitslücke betroffene Systeme im Übersicht

Betriebssysteme
UNIX, Linux, Windows

Produkte
Debian Linux (cpe:/o:debian:debian_linux)
IBM Maximo Sonderausstattung Management 7.6.1 (cpe:/a:ibm:maximo_asset_management)
IBM DB2 (cpe:/a:ibm:db2)
Red Hat Enterprise Linux (cpe:/o:redhat:enterprise_linux)
F5 BIG-IP (cpe:/a:f5:big-ip)
SUSE Linux (cpe:/o:suse:suse_linux)
IBM Tivoli Netcool/OMNIbus (cpe:/a:ibm:tivoli_netcool%2fomnibus)
Red Hat OpenShift (cpe:/a:redhat:openshift)
IBM MQ (cpe:/a:ibm:mq)
FasterXML Jackson < 2.14.0-rc1 (cpe:/a:fasterxml:jackson)
FasterXML Jackson < 2.13.4 (cpe:/a:fasterxml:jackson)
SOS GmbH JobScheduler < 2.5.0 (cpe:/a:sos_gmbh:jobscheduler)
IBM Spectrum Protect for Virtual Environments (cpe:/a:ibm:spectrum_protect)
IBM Spectrum Protect for Space Management Client (cpe:/a:ibm:spectrum_protect)
IBM Business Automatisierung Workflow 22.0.2 (cpe:/a:ibm:business_automation_workflow)
IBM Content Manager 8.7 (cpe:/a:ibm:content_manager)
IBM FileNet Content Manager (cpe:/a:ibm:filenet_content_manager)

Allgemeine Maßnahmen zum Umgang mit IT-Schwachstellen

1. Computer-Nutzer dieser betroffenen Anwendungen sollten jene aufwärts dem aktuellsten Stand halten. Hersteller sind zusammen mit Bekanntwerden von Sicherheitslücken dazu angehalten, jene schnellstmöglich durch Evolution eines Patches oder eines Workarounds zu beheben. Sollten Sicherheitspatches verfügbar sein, installieren Sie jene zeitnah.
2. Um Rat fragen Sie zu Informationszwecken die im nächsten Teilbereich aufgeführten Quellen. Mehrfach enthalten jene weiterführende Informationen zur aktuellsten Version dieser betreffenden Software sowie zur Verfügbarkeit von Sicherheitspatches oder Hinweise zu Workarounds.
3. Wenden Sie sich zusammen mit weiteren Fragen oder Unsicherheiten an Ihren zuständigen Administrator. IT-Sicherheitsverantwortliche sollten die genannten Quellen regelmäßig daraufhin prüfen, ob ein neues Sicherheitsupdate zur Verfügung steht.

Hersteller-Informationen zu Updates, Patches und Workarounds

An dieser Stelle Ergehen sich weiterführende Sinister mit Informationen darüber hinaus Programmfehler-Reports, Security-Fixes und Workarounds.

Red Hat Security Advisory RHSA-2023:3641 vom 2023-06-15 (16.06.2023)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2023:3641

F5 Security Advisory K000132725 vom 2023-06-01 (02.06.2023)
Weitere Informationen finden Sie unter: https://my.f5.com/manage/s/article/K000132725

IBM Security Bulletin 6987827 vom 2023-05-02 (03.05.2023)
Weitere Informationen finden Sie unter: https://www.ibm.com/support/pages/node/6987827

IBM Security Bulletin 6985689 vom 2023-04-24 (25.04.2023)
Weitere Informationen finden Sie unter: https://www.ibm.com/support/pages/node/6985689

Red Hat Security Advisory RHSA-2023:1006 vom 2023-03-09 (09.03.2023)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2023:1006

Red Hat Security Advisory RHSA-2023:1064 vom 2023-03-06 (07.03.2023)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2023:1064

IBM Security Bulletin 6958693 vom 2023-02-28 (28.02.2023)
Weitere Informationen finden Sie unter: https://www.ibm.com/support/pages/node/6958693

Red Hat Security Advisory RHSA-2023:0713 vom 2023-02-09 (10.02.2023)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2023:0713

IBM Security Bulletin 6952181 vom 2023-02-02 (03.02.2023)
Weitere Informationen finden Sie unter: https://www.ibm.com/support/pages/node/6952181

Red Hat Security Advisory RHSA-2023:0471 vom 2023-01-26 (27.01.2023)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2023:0471

IBM Security Bulletin 6857047 vom 2023-01-23 (24.01.2023)
Weitere Informationen finden Sie unter: https://www.ibm.com/support/pages/node/6857047

IBM Security Bulletin 6856661 vom 2023-01-20 (20.01.2023)
Weitere Informationen finden Sie unter: https://www.ibm.com/support/pages/node/6856661

IBM Security Bulletin 6856659 vom 2023-01-20 (20.01.2023)
Weitere Informationen finden Sie unter: https://www.ibm.com/support/pages/node/6856659

Red Hat Security Advisory RHSA-2023:0264 vom 2023-01-19 (20.01.2023)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2023:0264

Red Hat Security Advisory RHSA-2023:0189 vom 2023-01-17 (18.01.2023)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2023:0189

IBM Security Bulletin 6827869 vom 2022-12-23 (23.12.2022)
Weitere Informationen finden Sie unter: https://www.ibm.com/support/pages/node/6842075

IBM Security Bulletin 6833196 vom 2022-12-23 (23.12.2022)
Weitere Informationen finden Sie unter: https://www.ibm.com/support/pages/node/6846533

IBM Security Bulletin 6846525 vom 2022-12-20 (21.12.2022)
Weitere Informationen finden Sie unter: https://www.ibm.com/support/pages/node/6846525

Red Hat Security Advisory RHSA-2022:9032 vom 2022-12-15 (16.12.2022)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2022:9032

Red Hat Security Advisory RHSA-2022:9023 vom 2022-12-14 (15.12.2022)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2022:9023

Red Hat Security Advisory RHSA-2022:8889 vom 2022-12-08 (09.12.2022)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2022:8889

Red Hat Security Advisory RHSA-2022:8781 vom 2022-12-08 (08.12.2022)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2022:8781

Red Hat Security Advisory RHSA-2022:8876 vom 2022-12-07 (08.12.2022)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2022:8876

Debian Security Advisory DLA-3207 vom 2022-11-27 (28.11.2022)
Weitere Informationen finden Sie unter: https://lists.debian.org/debian-lts-announce/2022/11/msg00035.html

Debian Security Advisory DSA-5283 vom 2022-11-17 (18.11.2022)
Weitere Informationen finden Sie unter: https://www.debian.org/security/2022/dsa-5283

Red Hat Security Advisory RHSA-2022:7435 vom 2022-11-16 (17.11.2022)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2022:7435

SUSE Security Update SUSE-SU-2022:3995-1 vom 2022-11-15 (16.11.2022)
Weitere Informationen finden Sie unter: https://lists.suse.com/pipermail/sle-security-updates/2022-November/012934.html

SOS GmbH Vulnerability Release 2.5.0 vom 2022-10-20 (20.10.2022)
Weitere Informationen finden Sie unter: https://kb.sos-berlin.com/display/PKB/Vulnerability+Release+2.5.0

NIST Database vom 2022-10-03 (04.10.2022)
Weitere Informationen finden Sie unter: https://nvd.nist.gov/vuln/detail/CVE-2022-42004

NIST Database vom 2022-10-03 (04.10.2022)
Weitere Informationen finden Sie unter: https://nvd.nist.gov/vuln/detail/CVE-2022-42003

Versionshistorie dieser Sicherheitswarnung

Dies ist die 25. Version des vorliegenden IT-Sicherheitshinweises zu Händen FasterXML Jackson. Wohnhaft bei Veröffentlichung weiterer Updates wird dieser Text aktualisiert. Die vorgenommenen Änderungen können Sie mithilfe dieser folgenden Versionshistorie wiederholen.

04.10.2022 – Initiale Steckdose
20.10.2022 – Neue Updates aufgenommen
16.11.2022 – Neue Updates von SUSE aufgenommen
17.11.2022 – Neue Updates von Red Hat aufgenommen
18.11.2022 – Neue Updates von Debian aufgenommen
28.11.2022 – Neue Updates von Debian aufgenommen
08.12.2022 – Neue Updates von Red Hat aufgenommen
09.12.2022 – Neue Updates von Red Hat aufgenommen
15.12.2022 – Neue Updates von Red Hat aufgenommen
16.12.2022 – Neue Updates von Red Hat aufgenommen
21.12.2022 – Neue Updates von IBM aufgenommen
23.12.2022 – Neue Updates von IBM aufgenommen
18.01.2023 – Neue Updates von Red Hat aufgenommen
20.01.2023 – Neue Updates von Red Hat aufgenommen
24.01.2023 – Neue Updates von IBM aufgenommen
27.01.2023 – Neue Updates von Red Hat aufgenommen
03.02.2023 – Neue Updates von IBM und IBM-APAR aufgenommen
10.02.2023 – Neue Updates von Red Hat aufgenommen
28.02.2023 – Neue Updates von IBM aufgenommen
07.03.2023 – Neue Updates von Red Hat aufgenommen
09.03.2023 – Neue Updates von Red Hat aufgenommen
25.04.2023 – Neue Updates von IBM aufgenommen
03.05.2023 – Neue Updates von IBM aufgenommen
02.06.2023 – Neue Updates von F5 aufgenommen
16.06.2023 – Neue Updates von Red Hat aufgenommen

+++ Redaktioneller Kennziffer: Dieser Text wurde aufwärts Sockel aktueller BSI-Information KI-gestützt erstellt. Feedback und Anmerkungen nehmen wir unter [email protected] entgegen. +++

Verfolgen Sie News.de schon zusammen mit Facebook, Twitter, Pinterest und YouTube? Hier finden Sie brandheiße News, aktuelle Videos und den direkten Leiter zur Redaktion.
roj/news.de