Dasjenige Bundesamt zu Gunsten von Sicherheit in welcher Informationstechnik (BSI) hat am 09.05.2024 ein Update zu einer am 24.01.2022 bekanntgewordenen Sicherheitslücke zu Gunsten von npm hrsg.. Betroffen von welcher Sicherheitslücke sind die Betriebssysteme Linux und UNIX sowie die Produkte SUSE Linux, Oracle Linux, Avaya bezaubernde Wirkung Communication Manager, Avaya bezaubernde Wirkung Sitzung Manager, Avaya bezaubernde Wirkung Application Enablement Services, Avaya bezaubernde Wirkung System Manager, Avaya bezaubernde Wirkung Experience Tunnelportal, Red Hat Enterprise Linux und Open Source npm.

Die neuesten Hersteller-Empfehlungen mit Bezug auf Updates, Workarounds und Sicherheitspatches zu Gunsten von selbige Sicherheitslücke finden Sie hier: SUSE Security Update SUSE-SU-2024:1557-1 (Stand: 08.05.2024). Weitere nützliche Sinister werden weiter unten in diesem Beitrag aufgeführt.

Sicherheitshinweis zu Gunsten von npm – Risiko: tief

Risikostufe: 3 (tief)
CVSS Cousine Score: 4,4
CVSS Zeitlich Score: 3,9
Remoteangriff: Nein

Zur Einschätzung des Schweregrads von Schwachstellen in Computersystemen wird dies Common Vulnerability Scoring System (CVSS) angewandt. Welcher CVSS-Standard ermöglicht es, potenzielle oder tatsächliche Sicherheitslücken uff Stützpunkt verschiedener Kriterien miteinander zu vergleichen, um eine darauf aufbauende Prioritätenliste zur Herbeiführen von Gegenmaßnahmen zu erstellen. Zu Händen die Schweregrade einer Schwachstelle werden die Attribute „keine“, „tief“, „mittel“, „hoch“ und „ungelegen“ verwendet. Welcher Cousine Score bewertet die Voraussetzungen zu Gunsten von verdongeln Überfall (u.a. Authentifizierung, Schwierigkeit, Privilegien, Userinteraktion) sowie dessen Konsequenzen. Beim Zeitlich Score fließen gut die Zeit veränderbare Rahmenbedingungen in die Ordnung ein. Dasjenige Risiko welcher hier behandelten Schwachstelle wird nachher dem CVSS mit einem Cousine Score von 4,4 wie „tief“ eingeschätzt.

npm Softwarefehler: Schwachstelle ermöglicht Umgehen von Sicherheitsvorkehrungen

npm ist ein Paketmanager zu Gunsten von die JavaScript-Laufzeitumgebung Node.js.

Ein lokaler Angreifer kann eine Schwachstelle in npm ausnutzen, um Sicherheitsvorkehrungen zu umgehen.

Klassifiziert wurde die Schwachstelle mithilfe des CVE-Bezeichnungssystems (Common Vulnerabilities and Exposures) durch die individuelle Seriennummer CVE-2021-3521.

Von welcher npm-Sicherheitslücke betroffene Systeme im Gesamtschau

Betriebssysteme
Linux, UNIX

Produkte
SUSE Linux (cpe:/o:suse:suse_linux)
Oracle Linux (cpe:/o:oracle:linux)
Avaya bezaubernde Wirkung Communication Manager (cpe:/a:avaya:communication_manager)
Avaya bezaubernde Wirkung Sitzung Manager (cpe:/a:avaya:session_manager)
Avaya bezaubernde Wirkung Application Enablement Services (cpe:/a:avaya:aura_application_enablement_services)
Avaya bezaubernde Wirkung System Manager (cpe:/a:avaya:aura_system_manager)
Avaya bezaubernde Wirkung Experience Tunnelportal (cpe:/a:avaya:aura_experience_portal)
Red Hat Enterprise Linux 8.4 (cpe:/o:redhat:enterprise_linux)
Open Source npm (cpe:/a:npmjs:npm)

Allgemeine Maßnahmen zum Umgang mit IT-Sicherheitslücken

1. Benützer welcher betroffenen Anwendungen sollten selbige uff dem aktuellsten Stand halten. Hersteller sind nebst Bekanntwerden von Sicherheitslücken dazu angehalten, selbige schnellstmöglich durch Evolution eines Patches oder eines Workarounds zu beheben. Sollten neue Sicherheitsupdates verfügbar sein, installieren Sie selbige zeitnah.
2. Um Rat fragen Sie zu Informationszwecken die im nächsten Stück aufgeführten Quellen. Oft enthalten selbige weiterführende Informationen zur aktuellsten Version welcher betreffenden Software sowie zur Verfügbarkeit von Sicherheitspatches oder Hinweise zu Workarounds.
3. Wenden Sie sich nebst weiteren Fragen oder Unsicherheiten an Ihren zuständigen Administrator. IT-Sicherheitsverantwortliche sollten regelmäßig prüfen, zu welchem Zeitpunkt dies herstellende Unternehmen ein neues Sicherheitsupdate zur Verfügung stellt.

Hersteller-Informationen zu Updates, Patches und Workarounds

An dieser Stelle finden Sie weiterführende Sinister mit Informationen gut Softwarefehler-Reports, Security-Fixes und Workarounds.

SUSE Security Update SUSE-SU-2024:1557-1 vom 2024-05-08 (09.05.2024)
Weitere Informationen finden Sie unter: https://lists.suse.com/pipermail/sle-security-updates/2024-May/018482.html

Red Hat Security Advisory RHSA-2022:1051 vom 2022-03-24 (24.03.2022)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2022:1051

Red Hat Security Advisory RHSA-2022:0056 vom 2022-03-10 (10.03.2022)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2022:0056

AVAYA Security Advisory ASA-2022-016 vom 2022-02-11 (02.03.2022)
Weitere Informationen finden Sie unter: https://downloads.avaya.com/css/P8/documents/101080486

Red Hat Security Advisory RHSA-2022:0721 vom 2022-03-01 (01.03.2022)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2022:0721

Red Hat Security Advisory RHSA-2022:0687 vom 2022-03-01 (28.02.2022)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2022:0687

Red Hat Security Advisory RHSA-2022:0634 vom 2022-02-22 (22.02.2022)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2022:0634

Red Hat Security Advisory RHSA-2022:0585 vom 2022-02-21 (21.02.2022)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2022:0585

Red Hat Security Advisory RHSA-2022:0477 vom 2022-02-09 (08.02.2022)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2022:0477

Red Hat Security Advisory RHSA-2022:0476 vom 2022-02-09 (08.02.2022)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2022:0476

Red Hat Security Advisory RHSA-2022:0444 vom 2022-02-08 (07.02.2022)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2022:0444

Red Hat Security Advisory RHSA-2022:0445 vom 2022-02-08 (07.02.2022)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2022:0445

Oracle Linux Security Advisory ELSA-2022-0368 vom 2022-02-02 (01.02.2022)
Weitere Informationen finden Sie unter: https://linux.oracle.com/errata/ELSA-2022-0368.html

Red Hat Security Advisory RHSA-2022:0368 vom 2022-02-02 (01.02.2022)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2022:0368

Red Hat Security Advisory vom 2022-01-24 (24.01.2022)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2022:0254

Versionshistorie dieser Sicherheitswarnung

Dies ist die 12. Version des vorliegenden IT-Sicherheitshinweises zu Gunsten von npm. Sollten weitere Updates bekanntgegeben werden, wird dieser Text aktualisiert. Die vorgenommenen Änderungen können Sie mit welcher folgenden Versionshistorie reproduzieren.

24.01.2022 – Initiale Steckdose
01.02.2022 – Neue Updates von Red Hat aufgenommen
07.02.2022 – Neue Updates von Red Hat aufgenommen
08.02.2022 – Neue Updates von Red Hat aufgenommen
21.02.2022 – Neue Updates von Red Hat aufgenommen
22.02.2022 – Neue Updates von Red Hat aufgenommen
28.02.2022 – Neue Updates von Red Hat aufgenommen
01.03.2022 – Neue Updates von Red Hat aufgenommen
02.03.2022 – Neue Updates von AVAYA aufgenommen
10.03.2022 – Neue Updates von Red Hat aufgenommen
24.03.2022 – Neue Updates von Red Hat aufgenommen
09.05.2024 – Neue Updates von SUSE aufgenommen

+++ Redaktioneller Tabelle: Dieser Text wurde uff Stützpunkt aktueller BSI-Fakten generiert und wird je nachher Warnlage datengetrieben aktualisiert. Feedback und Anmerkungen nehmen wir unter [email protected] entgegen. +++

Verfolgen Sie News.de schon nebst Facebook, Twitter, Pinterest und YouTube? Hier finden Sie brandheiße News, aktuelle Videos und den direkten Leiter zur Redaktion.
kns/roj/news.de