Dies Bundesamt zu Gunsten von Sicherheit in jener Informationstechnik (BSI) hat am 05.02.2024 ein Update zu einer am 30.08.2017 bekanntgewordenen Sicherheitslücke zu Gunsten von JasPer hrsg.. Betroffen von jener Sicherheitslücke sind die Betriebssysteme UNIX und Linux sowie die Produkte Open Source JasPer und IBM App Connect Enterprise.

Die neuesten Hersteller-Empfehlungen hinsichtlich Updates, Workarounds und Sicherheitspatches zu Gunsten von selbige Sicherheitslücke finden Sie hier: IBM Security Bulletin 7114471 (Stand: 02.02.2024). Weitere nützliche Quellen werden weiter unten in diesem Verpflichtung aufgeführt.

Sicherheitshinweis zu Gunsten von JasPer – Risiko: hoch

Risikostufe: 3 (hoch)
CVSS Kusine Score: 7,5
CVSS Zeitlich Score: 7,1
Remoteangriff: Ja

Zur Einschätzung des Schweregrads von Sicherheitsanfälligkeiten in Computersystemen wird dasjenige Common Vulnerability Scoring System (CVSS) angewandt. Jener CVSS-Standard ermöglicht es, potenzielle oder tatsächliche Sicherheitslücken uff Sockel verschiedener Metriken miteinander zu vergleichen, um Gegenmaßnahmen besser vorziehen zu können. Für jedes die Schweregrade einer Schwachstelle werden die Attribute „keine“, „tief“, „mittel“, „hoch“ und „unbequem“ verwendet. Jener Kusine Score bewertet die Voraussetzungen zu Gunsten von verschmelzen Offensive (u.a. Authentifizierung, Varianz, Privilegien, Userinteraktion) sowie dessen Konsequenzen. Jener Zeitlich Score berücksichtigt darüber hinaus zeitliche Veränderungen im Sinne als jener Gefahrenlage. Jener Schweregrad jener hier behandelten Schwachstelle wird nachher dem CVSS mit einem Kusine Score von 7,5 wie „hoch“ eingestuft.

JasPer Softwarefehler: Mehrere Schwachstelle ermöglicht Denial of Tafelgeschirr

JasPer ist eine Implementation des JPEG 2000 Rolle 1 Komprimierungsstandards.

Ein entfernter, anonymer Angreifer kann mehrere Schwachstellen in JasPer ausnutzen, um verschmelzen Denial of Tafelgeschirr Offensive durchzuführen.

Klassifiziert wurden die Schwachstellen mithilfe des CVE-Referenziersystems (Common Vulnerabilities and Exposures) durch die individuellen Seriennummern CVE-2017-13745, CVE-2017-13746, CVE-2017-13747, CVE-2017-13748, CVE-2017-13749, CVE-2017-13750, CVE-2017-13751, CVE-2017-13752 und CVE-2017-13753.

Von jener JasPer-Sicherheitslücke betroffene Systeme im Syllabus

Betriebssysteme
UNIX, Linux

Produkte
Open Source JasPer 2.0.12 (cpe:/a:open_source:jasper)
IBM App Connect Enterprise (cpe:/a:ibm:app_connect_enterprise)

Allgemeine Maßnahmen zum Umgang mit IT-Sicherheitslücken

1. Computer-Nutzer jener betroffenen Anwendungen sollten selbige uff dem aktuellsten Stand halten. Hersteller sind im Kontext Bekanntwerden von Sicherheitslücken dazu angehalten, selbige schnellstmöglich durch Reifung eines Patches oder eines Workarounds zu beheben. Sollten Sicherheitspatches verfügbar sein, installieren Sie selbige zeitnah.
2. Rat einholen Sie zu Informationszwecken die im nächsten Teil aufgeführten Quellen. Oftmals enthalten selbige weiterführende Informationen zur aktuellsten Version jener betreffenden Software sowie zur Verfügbarkeit von Sicherheitspatches oder Hinweise zu Workarounds.
3. Wenden Sie sich im Kontext weiteren Fragen oder Unsicherheiten an Ihren zuständigen Administrator. IT-Sicherheitsverantwortliche sollten die genannten Quellen regelmäßig daraufhin prüfen, ob ein neues Sicherheitsupdate zur Verfügung steht.

Hersteller-Informationen zu Updates, Patches und Workarounds

An dieser Stelle Ergehen sich weiterführende Sinister mit Informationen verbleibend Softwarefehler-Reports, Security-Fixes und Workarounds.

IBM Security Bulletin 7114471 vom 2024-02-02 (05.02.2024)
Weitere Informationen finden Sie unter: https://www.ibm.com/support/pages/node/7114471

Patriotisch Vulnerability Database #CVE-2017-13753 vom 2017-08-29 (30.08.2017)
Weitere Informationen finden Sie unter: https://nvd.nist.gov/vuln/detail/CVE-2017-13753

Patriotisch Vulnerability Database #CVE-2017-13752 vom 2017-08-29 (30.08.2017)
Weitere Informationen finden Sie unter: https://nvd.nist.gov/vuln/detail/CVE-2017-13752

Patriotisch Vulnerability Database #CVE-2017-13751 vom 2017-08-29 (30.08.2017)
Weitere Informationen finden Sie unter: https://nvd.nist.gov/vuln/detail/CVE-2017-13751

Patriotisch Vulnerability Database #CVE-2017-13750 vom 2017-08-29 (30.08.2017)
Weitere Informationen finden Sie unter: https://nvd.nist.gov/vuln/detail/CVE-2017-13750

Patriotisch Vulnerability Database #CVE-2017-13749 vom 2017-08-29 (30.08.2017)
Weitere Informationen finden Sie unter: https://nvd.nist.gov/vuln/detail/CVE-2017-13749

Patriotisch Vulnerability Database #CVE-2017-13748 vom 2017-08-29 (30.08.2017)
Weitere Informationen finden Sie unter: https://nvd.nist.gov/vuln/detail/CVE-2017-13748

Patriotisch Vulnerability Database #CVE-2017-13747 vom 2017-08-29 (30.08.2017)
Weitere Informationen finden Sie unter: https://nvd.nist.gov/vuln/detail/CVE-2017-13747

Patriotisch Vulnerability Database #CVE-2017-13746 vom 2017-08-29 (30.08.2017)
Weitere Informationen finden Sie unter: https://nvd.nist.gov/vuln/detail/CVE-2017-13746

Patriotisch Vulnerability Database #CVE-2017-13745 vom 2017-08-29 (30.08.2017)
Weitere Informationen finden Sie unter: https://nvd.nist.gov/vuln/detail/CVE-2017-13745

Versionshistorie dieser Sicherheitswarnung

Dies ist die 4. Version des vorliegenden IT-Sicherheitshinweises zu Gunsten von JasPer. Unter Veröffentlichung weiterer Updates wird dieser Text aktualisiert. Die vorgenommenen Änderungen können Sie unter Zuhilfenahme von jener folgenden Versionshistorie reproduzieren.

30.08.2017 – Initial Release
30.08.2017 – Version nicht vorhanden
12.08.2019 – Verweis(en) aufgenommen: GLSA201908-03
05.02.2024 – Neue Updates von IBM aufgenommen

+++ Redaktioneller Rauchzeichen: Dieser Text wurde uff Sockel aktueller BSI-Information generiert und wird je nachher Warnlage datengetrieben aktualisiert. Feedback und Anmerkungen nehmen wir unter [email protected] entgegen. +++

Nachsteigen Sie News.de schon im Kontext Facebook, Twitter, Pinterest und YouTube? Hier finden Sie brandheiße News, aktuelle Videos und den direkten Kabel zur Redaktion.

Bearbeitet durch kns
roj/news.de