Dies Bundesamt pro Sicherheit in jener Informationstechnik (BSI) hat am 02.12.2022 zusammenführen Sicherheitshinweis pro Asterisk veröffentlicht. Die Software enthält mehrere Schwachstellen, die von Angreifern ausgenutzt werden können. Betroffen von jener Sicherheitslücke sind die Betriebssysteme UNIX, Linux und Windows sowie die Produkte Open Source Asterisk und Digium Certified Asterisk.

Die neuesten Hersteller-Empfehlungen in Bezug auf Updates, Workarounds und Sicherheitspatches pro ebendiese Sicherheitslücke finden Sie hier: Asterisk Security Advisory AST-2022-007 (Stand: 01.12.2022). Weitere nützliche Quellen werden weiter unten in diesem Beitrag aufgeführt.

Mehrere Schwachstellen pro Asterisk gemeldet – Risiko: mittel

Risikostufe: 3 (mittel)
CVSS Cousine Score: 7,5
CVSS Zeitlich Score: 6,5
Remoteangriff: Ja

Zur Ordnung jener Verwundbarkeit von Computersystemen wird dasjenige Common Vulnerability Scoring System (CVSS) angewandt. Dieser CVSS-Standard ermöglicht es, potenzielle oder tatsächliche Sicherheitslücken gen Fundament verschiedener Kriterien miteinander zu vergleichen, um eine darauf aufbauende Prioritätenliste zur Präambel von Gegenmaßnahmen zu erstellen. Z. Hd. die Schweregrade einer Schwachstelle werden die Attribute „keine“, „tief“, „mittel“, „hoch“ und „ungelegen“ verwendet. Dieser Cousine Score bewertet die Voraussetzungen pro zusammenführen Sturm (u.a. Authentifizierung, Vielschichtigkeit, Privilegien, Userinteraktion) sowie dessen Konsequenzen. Dieser Zeitlich Score berücksichtigt darüber hinaus zeitliche Veränderungen in Form von jener Gefahrenlage. Die Gefährdung jener hier behandelten Schwachstelle wird nachher dem CVSS mit einem Cousine Score von 7,5 denn „mittel“ eingeschätzt.

Asterisk Softwarefehler: Auswirkungen unter Verwendung jener bekannten Schwachstellen

Asterisk ist eine komplette Open Source Multiprotokoll Telefonanlage (PBX) gen Softwarebasis.

Ein entfernter, anonymer Angreifer kann mehrere Schwachstellen in Asterisk ausnutzen, um zusammenführen Denial of Tafelgeschirr Sturm durchzuführen oder Informationen offenzulegen.

Klassifiziert wurden die Schwachstellen mithilfe des CVE-Referenziersystems (Common Vulnerabilities and Exposures) durch die individuellen Seriennummern CVE-2022-42706, CVE-2022-42705 und CVE-2022-37325.

Von jener Asterisk-Sicherheitslücke betroffene Systeme im Zusammenfassung

Betriebssysteme
UNIX, Linux, Windows

Produkte
Open Source Asterisk < 16.29.1 (cpe:/a:digium:asterisk)
Open Source Asterisk < 18.15.1 (cpe:/a:digium:asterisk)
Open Source Asterisk < 19.7.1 (cpe:/a:digium:asterisk)
Open Source Asterisk < 20.0.1 (cpe:/a:digium:asterisk)
Digium Certified Asterisk < 18.9-cert3 (cpe:/a:digium:certified_asterisk)

Allgemeine Maßnahmen zum Umgang mit IT-Schwachstellen

1. User jener betroffenen Systeme sollten ebendiese gen dem aktuellsten Stand halten. Hersteller sind unter Bekanntwerden von Sicherheitslücken dazu angehalten, ebendiese schnellstmöglich durch Fortgang eines Patches oder eines Workarounds zu beheben. Sollten Sicherheitspatches verfügbar sein, installieren Sie ebendiese zeitnah.

2. Um Rat fragen Sie zu Informationszwecken die im nächsten Segment aufgeführten Quellen. X-fach enthalten ebendiese weiterführende Informationen zur aktuellsten Version jener betreffenden Software sowie zur Verfügbarkeit von Sicherheitspatches oder Hinweise zu Workarounds.

3. Wenden Sie sich unter weiteren Fragen oder Unsicherheiten an Ihren zuständigen Administrator. IT-Sicherheitsverantwortliche sollten die genannten Quellen regelmäßig daraufhin prüfen, ob ein neues Sicherheitsupdate zur Verfügung steht.

Quellen zu Updates, Patches und Workarounds

An dieser Stelle entscheiden sich weiterführende Sinister mit Informationen droben Softwarefehler-Reports, Security-Fixes und Workarounds.

Asterisk Security Advisory AST-2022-007 vom 2022-12-01 (02.12.2022)
Weitere Informationen finden Sie unter: https://downloads.asterisk.org/pub/security/AST-2022-007.html

Asterisk Security Advisory AST-2022-008 vom 2022-12-01 (02.12.2022)
Weitere Informationen finden Sie unter: https://downloads.asterisk.org/pub/security/AST-2022-008.html

Asterisk Security Advisory AST-2022-009 vom 2022-12-01 (02.12.2022)
Weitere Informationen finden Sie unter: https://downloads.asterisk.org/pub/security/AST-2022-009.html

Versionshistorie dieser Sicherheitswarnung

Dies ist die initiale Halterung des vorliegenden IT-Sicherheitshinweises pro Asterisk. Nebst Veröffentlichung von Updates wird dieser Text aktualisiert. Änderungen oder Ergänzungen können Sie in dieser Versionshistorie nachlesen.

02.12.2022 – Initiale Halterung

+++ Redaktioneller Kennziffer: Dieser Text wurde gen Fundament aktueller BSI-Datenansammlung KI-gestützt erstellt. Feedback und Anmerkungen nehmen wir unter [email protected] entgegen. +++

Hören Sie News.de schon unter Facebook, Twitter, Pinterest und YouTube? Hier finden Sie brandheiße News, aktuelle Videos und den direkten Leiter zur Redaktion.
roj/news.de