Dasjenige Bundesamt zu Gunsten von Sicherheit in jener Informationstechnik (BSI) hat am 05.11.2024 ein Update zu einer am 16.12.2021 bekanntgewordenen Sicherheitslücke zu Gunsten von Apache Sling veröffentlicht. Betroffen von jener Sicherheitslücke sind die Betriebssysteme Linux, UNIX und Windows sowie die Produkte Red Hat Enterprise Linux und Apache Sling.

Die neuesten Hersteller-Empfehlungen in Hinblick auf Updates, Workarounds und Sicherheitspatches zu Gunsten von sie Sicherheitslücke finden Sie hier: Red Hat Security Advisory RHSA-2024:8884 (Stand: 05.11.2024). Weitere nützliche Quellen werden weiter unten in diesem Produkt aufgeführt.

Sicherheitshinweis zu Gunsten von Apache Sling – Risiko: mittel

Risikostufe: 3 (mittel)
CVSS Kusine Score: 7,3
CVSS Zeitlich Score: 6,4
Remoteangriff: Ja

Zur Einschätzung des Schweregrads von Schwachstellen in Computersystemen wird dies Common Vulnerability Scoring System (CVSS) angewandt. Jener CVSS-Standard ermöglicht es, potenzielle oder tatsächliche Sicherheitslücken gen Lager verschiedener Metriken miteinander zu vergleichen, um Gegenmaßnahmen besser vorziehen zu können. Z. Hd. die Schweregrade einer Schwachstelle werden die Attribute „keine“, „tief“, „mittel“, „hoch“ und „ungelegen“ verwendet. Jener Kusine Score bewertet die Voraussetzungen zu Gunsten von zusammensetzen Übergriff (u.a. Authentifizierung, Vielschichtigkeit, Privilegien, Userinteraktion) sowie dessen Konsequenzen. Jener Zeitlich Score berücksichtigt darüber hinaus zeitliche Veränderungen in Form von jener Gefahrenlage. Dasjenige Risiko jener hier behandelten Schwachstelle wird nachher dem CVSS mit einem Kusine Score von 7,3 qua „mittel“ eingeschätzt.

Apache Sling Softwarefehler: Schwachstelle ermöglicht Umgehen von Sicherheitsvorkehrungen

Apache Sling ist ein Open Source-Webframework zu Gunsten von die Java-Plattform.

Ein entfernter Angreifer kann eine Schwachstelle in Apache Sling ausnutzen, um Sicherheitsvorkehrungen zu umgehen.

Die Verwundbarkeit wird mit jener eindeutigen CVE-Identifikationsnummer (Common Vulnerabilities and Exposures) CVE-2021-44549 gehandelt.

Von jener Sicherheitslücke betroffene Systeme im Gesamtschau

Betriebssysteme
Linux, UNIX, Windows

Produkte
Red Hat Enterprise Linux (cpe:/o:redhat:enterprise_linux)
Apache Sling <2.0 (cpe:/a:apache:sling)
Apache Sling 2.0 (cpe:/a:apache:sling)

Allgemeine Empfehlungen zum Umgang mit IT-Sicherheitslücken

1. Benutzer jener betroffenen Systeme sollten sie gen dem aktuellsten Stand halten. Hersteller sind für Bekanntwerden von Sicherheitslücken dazu angehalten, sie schnellstmöglich durch Entwicklungsprozess eines Patches oder eines Workarounds zu beheben. Sollten neue Sicherheitsupdates verfügbar sein, installieren Sie sie zeitnah.
2. Um Rat fragen Sie zu Informationszwecken die im nächsten Phase aufgeführten Quellen. X-fach enthalten sie weiterführende Informationen zur aktuellsten Version jener betreffenden Software sowie zur Verfügbarkeit von Sicherheitspatches oder Hinweise zu Workarounds.
3. Wenden Sie sich für weiteren Fragen oder Unsicherheiten an Ihren zuständigen Administrator. IT-Sicherheitsverantwortliche sollten die genannten Quellen regelmäßig daraufhin prüfen, ob ein neues Sicherheitsupdate zur Verfügung steht.

Quellen zu Updates, Patches und Workarounds

An dieser Stelle finden Sie weiterführende Sinister mit Informationen zusätzlich Softwarefehler-Reports, Security-Fixes und Workarounds.

Red Hat Security Advisory RHSA-2024:8884 vom 2024-11-05 (05.11.2024)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2024:8884

Red Hat Security Advisory RHSA-2024:8885 vom 2024-11-05 (05.11.2024)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2024:8885

Red Hat Security Advisory RHSA-2024:8886 vom 2024-11-05 (05.11.2024)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2024:8886

Red Hat Security Advisory RHSA-2024:8887 vom 2024-11-05 (05.11.2024)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2024:8887

GitHub Advisory Database vom 2021-12-16 (16.12.2021)
Weitere Informationen finden Sie unter: https://github.com/advisories/GHSA-c69w-jj56-834w

Versionshistorie dieses Sicherheitshinweises

Dies ist die 2. Version des vorliegenden IT-Sicherheitshinweises zu Gunsten von Apache Sling. C/o Publikation weiterer Updates wird dieser Text aktualisiert. Änderungen oder Ergänzungen können Sie in dieser Versionshistorie nachlesen.

16.12.2021 – Initiale Steckdose
05.11.2024 – Neue Updates von Red Hat aufgenommen

+++ Redaktioneller Verzeichnis: Dieser Text wurde gen Lager aktueller BSI-Datenmaterial generiert und wird je nachher Warnlage datengetrieben aktualisiert. Feedback und Anmerkungen nehmen wir unter [email protected] entgegen. +++

Nachstellen Sie News.de schon für Facebook, Twitter, Pinterest und YouTube? Hier finden Sie brandheiße News, aktuelle Videos und den direkten Leiterbahn zur Redaktion.
kns/roj/news.de