Dies Bundesamt zu Händen Sicherheit in welcher Informationstechnik (BSI) hat am 11.07.2024 ein Update zu einer am 07.10.2020 bekanntgewordenen Sicherheitslücke zu Händen Apache HttpComponents veröffentlicht. Betroffen von welcher Sicherheitslücke sind die Betriebssysteme Linux, UNIX und Windows sowie die Produkte IBM Security Guardium, Debian Linux, Amazon Linux 2, Red Hat Enterprise Linux, Oracle Linux, IBM Spectrum Protect, IBM Tivoli Business Tafelgeschirr Manager, Avaya bezaubernde Wirkung Communication Manager, Avaya bezaubernde Wirkung Sitzung Manager, Avaya bezaubernde Wirkung Application Enablement Services, Avaya bezaubernde Wirkung System Manager, Avaya bezaubernde Wirkung Experience Tunnelmund, Apache HttpComponents, Hitachi Ops Center, IBM QRadar SIEM, IBM Tivoli Monitoring und Dell NetWorker.

Die neuesten Hersteller-Empfehlungen zum Thema Updates, Workarounds und Sicherheitspatches zu Händen sie Sicherheitslücke finden Sie hier: IBM Security Bulletin 7160139 (Stand: 12.07.2024). Weitere nützliche Sinister werden weiter unten in diesem Begleiter aufgeführt.

Sicherheitshinweis zu Händen Apache HttpComponents – Risiko: hoch

Risikostufe: 3 (hoch)
CVSS Cousine Score: 8,2
CVSS Zeitlich Score: 7,1
Remoteangriff: Ja

Zur Priorisierung des Schweregrads von Schwachstellen in Computersystemen wird dasjenige Common Vulnerability Scoring System (CVSS) angewandt. Dieser CVSS-Standard ermöglicht es, potenzielle oder tatsächliche Sicherheitslücken uff Fundament verschiedener Kriterien miteinander zu vergleichen, um eine darauf aufbauende Prioritätenliste zur Präambel von Gegenmaßnahmen zu erstellen. Für jedes die Schweregrade einer Schwachstelle werden die Attribute „keine“, „tief“, „mittel“, „hoch“ und „unbequem“ verwendet. Dieser Cousine Score bewertet die Voraussetzungen zu Händen zusammensetzen Offensive (u.a. Authentifizierung, Kompliziertheit, Privilegien, Userinteraktion) sowie dessen Konsequenzen. Beim Zeitlich Score fließen obig die Zeit veränderbare Rahmenbedingungen in die Priorisierung ein. Die Gefährdung welcher aktuellen Schwachstelle wird nachher dem CVSS mit einem Cousine Score von 8,2 qua „hoch“ eingeschätzt.

Apache HttpComponents Programmierfehler: Schwachstelle ermöglicht Täuschung des Nutzers

Apache HttpComponents ist ein Toolset von Hypertext Transfer Protocol Java Komponenten.

Ein entfernter, anonymer Angreifer kann eine Schwachstelle in Apache HttpComponents ausnutzen, um den Nutzer zu täuschen.

Klassifiziert wurde die Schwachstelle mithilfe des CVE-Bezeichnungssystems (Common Vulnerabilities and Exposures) durch die individuelle Seriennummer CVE-2020-13956.

Von welcher Sicherheitslücke betroffene Systeme im Gesamtschau

Betriebssysteme
Linux, UNIX, Windows

Produkte
IBM Security Guardium 11.3 (cpe:/a:ibm:security_guardium)
Debian Linux (cpe:/o:debian:debian_linux)
Amazon Linux 2 (cpe:/o:amazon:linux_2)
Red Hat Enterprise Linux (cpe:/o:redhat:enterprise_linux)
Oracle Linux (cpe:/o:oracle:linux)
IBM Spectrum Protect (cpe:/a:ibm:spectrum_protect)
IBM Tivoli Business Tafelgeschirr Manager (cpe:/a:ibm:tivoli_business_service_manager)
Avaya bezaubernde Wirkung Communication Manager (cpe:/a:avaya:communication_manager)
Avaya bezaubernde Wirkung Sitzung Manager (cpe:/a:avaya:session_manager)
Avaya bezaubernde Wirkung Application Enablement Services (cpe:/a:avaya:aura_application_enablement_services)
Avaya bezaubernde Wirkung System Manager (cpe:/a:avaya:aura_system_manager)
Avaya bezaubernde Wirkung Experience Tunnelmund (cpe:/a:avaya:aura_experience_portal)
Apache HttpComponents <4.5.13 (cpe:/a:apache:http_components)
Apache HttpComponents <5.0.3 (cpe:/a:apache:http_components)
Hitachi Ops Center (cpe:/a:hitachi:ops_center)
IBM QRadar SIEM 7.5.0 (cpe:/a:ibm:qradar_siem)
IBM Tivoli Monitoring for Virtual Environments Vermittler for Linux Kernel-based Virtual Machines (cpe:/a:ibm:tivoli_monitoring)
Dell NetWorker Server <19.9.0.6 (cpe:/a:dell:networker)

Allgemeine Empfehlungen zum Umgang mit IT-Schwachstellen

1. Benutzer welcher betroffenen Anwendungen sollten sie uff dem aktuellsten Stand halten. Hersteller sind für Bekanntwerden von Sicherheitslücken dazu angehalten, sie schnellstmöglich durch Evolution eines Patches oder eines Workarounds zu beheben. Sollten neue Sicherheitsupdates verfügbar sein, installieren Sie sie zeitnah.
2. Rat einholen Sie zu Informationszwecken die im nächsten Stückchen aufgeführten Quellen. X-fach enthalten sie weiterführende Informationen zur aktuellsten Version welcher betreffenden Software sowie zur Verfügbarkeit von Sicherheitspatches oder Hinweise zu Workarounds.
3. Wenden Sie sich für weiteren Fragen oder Unsicherheiten an Ihren zuständigen Administrator. IT-Sicherheitsverantwortliche sollten regelmäßig prüfen, zu welcher Zeit dasjenige herstellende Unternehmen ein neues Sicherheitsupdate zur Verfügung stellt.

Hersteller-Informationen zu Updates, Patches und Workarounds

An dieser Stelle finden Sie weiterführende Sinister mit Informationen obig Programmierfehler-Reports, Security-Fixes und Workarounds.

IBM Security Bulletin 7160139 vom 2024-07-12 (11.07.2024)
Weitere Informationen finden Sie unter: https://www.ibm.com/support/pages/node/7160139

IBM Security Bulletin 7153639 vom 2024-05-17 (16.05.2024)
Weitere Informationen finden Sie unter: https://www.ibm.com/support/pages/node/7153639

Dell Security Advisory DSA-2024-208 vom 2024-05-07 (06.05.2024)
Weitere Informationen finden Sie unter: https://www.dell.com/support/kbdoc/000224800/dsa-2024-=

IBM Security Bulletin 7037815 vom 2023-09-22 (24.09.2023)
Weitere Informationen finden Sie unter: https://www.ibm.com/support/pages/node/7037815

IBM Security Bulletin 7011383 vom 2023-07-12 (11.07.2023)
Weitere Informationen finden Sie unter: https://www.ibm.com/support/pages/node/7011383

Red Hat Security Advisory RHSA-2023:3954 vom 2023-06-29 (29.06.2023)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2023:3954

IBM Security Bulletin 6963075 vom 2023-03-13 (13.03.2023)
Weitere Informationen finden Sie unter: https://www.ibm.com/support/pages/node/6963075

Amazon Linux Security Advisory ALAS-2023-1946 vom 2023-02-22 (22.02.2023)
Weitere Informationen finden Sie unter: https://alas.aws.amazon.com/AL2/ALAS-2023-1946.html

IBM Security Bulletin 6826619 vom 2022-10-05 (04.10.2022)
Weitere Informationen finden Sie unter: https://www.ibm.com/blogs/psirt/security-bulletin-a-vulnerability-in-apache-httpclient-affects-ibm-tivoli-business-service-manager-cve-2020-13956/

AVAYA Security Advisory ASA-2022-073 vom 2022-06-01 (02.06.2022)
Weitere Informationen finden Sie unter: https://downloads.avaya.com/css/P8/documents/101082111

Oracle Linux Security Advisory ELSA-2022-1861 vom 2022-05-17 (17.05.2022)
Weitere Informationen finden Sie unter: https://linux.oracle.com/errata/ELSA-2022-1861.html

Red Hat Security Advisory RHSA-2022:1861 vom 2022-05-10 (10.05.2022)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2022:1861

Red Hat Security Advisory RHSA-2022:1860 vom 2022-05-10 (10.05.2022)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2022:1860

Red Hat Security Advisory RHSA-2022:0722 vom 2022-03-01 (01.03.2022)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2022:0722

Red Hat Security Advisory RHSA-2021:4100 vom 2021-11-02 (02.11.2021)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2021:4100

Red Hat Security Advisory RHSA-2021:3700 vom 2021-09-30 (29.09.2021)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2021:3700

Red Hat Security Advisory RHSA-2021:3140 vom 2021-08-11 (11.08.2021)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2021:3140

Red Hat Security Advisory RHSA-2021:1044 vom 2021-03-30 (30.03.2021)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2021:1044

Red Hat Security Advisory RHSA-2021:0811 vom 2021-03-11 (11.03.2021)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2021:0811

RedHat Security Advisory (11.03.2021)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2021:0811

Hitachi Vulnerability Information HITACHI-SEC-2021-111 vom 2021-02-19 (21.02.2021)
Weitere Informationen finden Sie unter: https://www.hitachi.co.jp/Prod/comp/soft1/multinational/security/info/vuls/hitachi-sec-2021-111/index.html

Red Hat Security Advisory RHSA-2021:0603 vom 2021-02-17 (17.02.2021)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2021:0603

Red Hat Security Advisory RHSA-2021:0250 vom 2021-01-25 (25.01.2021)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2021:0250

Red Hat Security Advisory RHSA-2021:0248 vom 2021-01-25 (25.01.2021)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2021:0248

Red Hat Security Advisory RHSA-2021:0246 vom 2021-01-25 (25.01.2021)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2021:0246

Red Hat Security Advisory RHSA-2021:0247 vom 2021-01-25 (25.01.2021)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2021:0247

Red Hat Security Advisory RHSA-2021:0084 vom 2021-01-12 (12.01.2021)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2021:0084

Debian Security Advisory DSA-4773 vom 2020-10-17 (18.10.2020)
Weitere Informationen finden Sie unter: https://lists.debian.org/debian-security-announce/2020/msg00180.html

Debian Security Advisory DSA-4772 vom 2020-10-15 (14.10.2020)
Weitere Informationen finden Sie unter: https://www.debian.org/security/2020/dsa-4772

Debian Security Advisory DLA-2405 vom 2020-10-10 (11.10.2020)
Weitere Informationen finden Sie unter: https://lists.debian.org/debian-lts-announce/2020/debian-lts-announce-202010/msg00017.html

Mailing list OSS-Security vom 2020-10-08 (07.10.2020)
Weitere Informationen finden Sie unter: https://www.openwall.com/lists/oss-security/2020/10/08/4

Versionshistorie dieser Sicherheitswarnung

Dies ist die 26. Version des vorliegenden IT-Sicherheitshinweises zu Händen Apache HttpComponents. Nebst Publikation weiterer Updates wird dieser Text aktualisiert. Die vorgenommenen Änderungen können Sie mithilfe welcher folgenden Versionshistorie reproduzieren.

07.10.2020 – Initiale Steckdose
11.10.2020 – Neue Updates von Debian aufgenommen
14.10.2020 – Neue Updates von Debian aufgenommen
18.10.2020 – Neue Updates von Debian aufgenommen
12.01.2021 – Neue Updates von Red Hat aufgenommen
25.01.2021 – Neue Updates von Red Hat aufgenommen
17.02.2021 – Neue Updates von Red Hat aufgenommen
21.02.2021 – Neue Updates von HITACHI aufgenommen
11.03.2021 – Neue Updates von Red Hat aufgenommen
30.03.2021 – Neue Updates von Red Hat aufgenommen
11.08.2021 – Neue Updates von Red Hat aufgenommen
29.09.2021 – Neue Updates von Red Hat aufgenommen
02.11.2021 – Neue Updates von Red Hat aufgenommen
01.03.2022 – Neue Updates von Red Hat aufgenommen
10.05.2022 – Neue Updates von Red Hat aufgenommen
17.05.2022 – Neue Updates von Oracle Linux aufgenommen
02.06.2022 – Neue Updates von AVAYA aufgenommen
04.10.2022 – Neue Updates von IBM aufgenommen
22.02.2023 – Neue Updates von Amazon aufgenommen
13.03.2023 – Neue Updates von IBM aufgenommen
29.06.2023 – Neue Updates von Red Hat aufgenommen
11.07.2023 – Neue Updates von IBM aufgenommen
24.09.2023 – Neue Updates von IBM aufgenommen
06.05.2024 – Neue Updates von Dell aufgenommen
16.05.2024 – Neue Updates von IBM aufgenommen
11.07.2024 – Neue Updates von IBM aufgenommen

+++ Redaktioneller Zeiger: Dieser Text wurde uff Fundament aktueller BSI-Fakten generiert und wird je nachher Warnlage datengetrieben aktualisiert. Feedback und Anmerkungen nehmen wir unter [email protected] entgegen. +++

Nachgehen Sie News.de schon für Facebook, Twitter, Pinterest und YouTube? Hier finden Sie brandheiße News, aktuelle Videos und den direkten Leiterbahn zur Redaktion.
kns/roj/news.de