Dasjenige Bundesamt pro Sicherheit in jener Informationstechnik (BSI) hat am 31.10.2022 ein Update zu einer am 17.02.2022 bekanntgewordenen Sicherheitslücke mit mehreren Schwachstellen pro Linux Kernel veröffentlicht. Betroffen von jener Sicherheitslücke sind die Betriebssysteme UNIX und Linux sowie die Produkte Debian Linux, Ubuntu Linux, SUSE Linux, NetApp ActiveIQ Unified Manager und Open Source Linux Kernel.

Mehrere Schwachstellen pro Linux Kernel – Risiko: hoch

Risikostufe: 5 (hoch)
CVSS Cousine Score: 8,8
CVSS Zeitlich Score: 8,3
Remoteangriff: Nein

Zur Einschätzung jener Verwundbarkeit von Computersystemen wird dasjenige Common Vulnerability Scoring System (CVSS) angewandt. Dieser CVSS-Standard ermöglicht es, potenzielle oder tatsächliche Sicherheitslücken uff Lager verschiedener Kriterien miteinander zu vergleichen, um eine darauf aufbauende Prioritätenliste zur Vorwort von Gegenmaßnahmen zu erstellen. Zum Besten von die Schweregrade einer Schwachstelle werden die Attribute „keine“, „tief“, „mittel“, „hoch“ und „unbequem“ verwendet. Dieser Cousine Score bewertet die Voraussetzungen pro vereinigen Sturm (u.a. Authentifizierung, Vielschichtigkeit, Privilegien, Userinteraktion) sowie dessen Konsequenzen. Beim Zeitlich Score fließen obig die Zeit veränderbare Rahmenbedingungen in die Priorisierung ein. Die Gefährdung jener aktuellen Schwachstelle wird nachher dem CVSS mit einem Cousine Score von 8,8 qua „hoch“ eingeschätzt.

Linux Kernel Programmierfehler: Auswirkungen zwischen Nutzbarmachung jener bekannten Schwachstellen

Dieser Kernel stellt den Obstkern des Linux Betriebssystems dar.

Ein lokaler Angreifer kann mehrere Schwachstellen im Linux Kernel ausnutzen, um vereinigen nicht näher spezifizierten Sturm durchzuführen und beliebigen Identifikator zur Variante zu einfahren.

Klassifiziert wurden die Schwachstellen mithilfe des CVE-Referenziersystems (Common Vulnerabilities and Exposures) durch die individuellen Seriennummern CVE-2022-25258 und CVE-2022-25265.

Von jener Sicherheitslücke betroffene Systeme im Übersicht

Betriebssysteme
UNIX, Linux

Produkte
Debian Linux (cpe:/o:debian:debian_linux)
Ubuntu Linux (cpe:/o:canonical:ubuntu_linux)
SUSE Linux (cpe:/o:suse:suse_linux)
NetApp ActiveIQ Unified Manager (cpe:/a:netapp:active_iq_unified_manager)
Open Source Linux Kernel <=5.16.10 (cpe:/o:linux:linux_kernel)
Open Source Linux Kernel <=5.16.10 (cpe:/o:linux:linux_kernel)

Allgemeine Maßnahmen zum Umgang mit IT-Schwachstellen

1. Computer-Nutzer jener betroffenen Systeme sollten jene uff dem aktuellsten Stand halten. Hersteller sind zwischen Bekanntwerden von Sicherheitslücken dazu angehalten, jene schnellstmöglich durch Weiterentwicklung eines Patches oder eines Workarounds zu beheben. Sollten neue Sicherheitsupdates verfügbar sein, installieren Sie jene zeitnah.

2. Sich beraten lassen Sie zu Informationszwecken die im nächsten Fragment aufgeführten Quellen. X-fach enthalten jene weiterführende Informationen zur aktuellsten Version jener betreffenden Software sowie zur Verfügbarkeit von Sicherheitspatches oder Hinweise zu Workarounds.

3. Wenden Sie sich zwischen weiteren Fragen oder Unsicherheiten an Ihren zuständigen Administrator. IT-Sicherheitsverantwortliche sollten regelmäßig prüfen, zu welchem Zeitpunkt dasjenige herstellende Unternehmen ein neues Sicherheitsupdate zur Verfügung stellt.

Hersteller-Informationen zu Updates, Patches und Workarounds

An dieser Stelle entscheiden sich weiterführende Sinister mit Informationen obig Programmierfehler-Reports, Security-Fixes und Workarounds.

NetApp Security Advisory NTAP-20221028-0007 vom 2022-10-28 (31.10.2022)
Weitere Informationen finden Sie unter: https://security.netapp.com/advisory/ntap-20221028-0007/

Ubuntu Security Notice USN-5540-1 vom 2022-07-29 (29.07.2022)
Weitere Informationen finden Sie unter: https://ubuntu.com/security/notices/USN-5540-1

Ubuntu Security Notice USN-5417-1 vom 2022-05-12 (12.05.2022)
Weitere Informationen finden Sie unter: https://ubuntu.com/security/notices/USN-5417-1

Ubuntu Security Notice USN-5415-1 vom 2022-05-12 (12.05.2022)
Weitere Informationen finden Sie unter: https://ubuntu.com/security/notices/USN-5415-1

Ubuntu Security Notice USN-5418-1 vom 2022-05-12 (12.05.2022)
Weitere Informationen finden Sie unter: https://ubuntu.com/security/notices/USN-5418-1

SUSE Security Update SUSE-SU-2022:1257-1 vom 2022-04-19 (20.04.2022)
Weitere Informationen finden Sie unter: https://lists.suse.com/pipermail/sle-security-updates/2022-Vierter Monat des Jahres/010746.html

SUSE Security Update SUSE-SU-2022:1037-1 vom 2022-03-30 (31.03.2022)
Weitere Informationen finden Sie unter: https://lists.suse.com/pipermail/sle-security-updates/2022-March/010570.html

SUSE Security Update SUSE-SU-2022:1038-1 vom 2022-03-30 (31.03.2022)
Weitere Informationen finden Sie unter: https://lists.suse.com/pipermail/sle-security-updates/2022-March/010567.html

SUSE Security Update SUSE-SU-2022:1039-1 vom 2022-03-30 (31.03.2022)
Weitere Informationen finden Sie unter: https://lists.suse.com/pipermail/sle-security-updates/2022-March/010566.html

Debian Security Advisory DLA-2940 vom 2022-03-09 (10.03.2022)
Weitere Informationen finden Sie unter: https://lists.debian.org/debian-lts-announce/2022/03/msg00011.html

Debian Security Advisory DLA-2941 vom 2022-03-09 (10.03.2022)
Weitere Informationen finden Sie unter: https://lists.debian.org/debian-lts-announce/2022/03/msg00012.html

Debian Security Advisory DSA-5096 vom 2022-03-09 (10.03.2022)
Weitere Informationen finden Sie unter: https://lists.debian.org/debian-security-announce/2022/msg00063.html

SUSE Security Update SUSE-SU-2022:0759-1 vom 2022-03-09 (09.03.2022)
Weitere Informationen finden Sie unter: https://lists.suse.com/pipermail/sle-security-updates/2022-March/010392.html

Debian Security Advisory DSA-5092 vom 2022-03-07 (08.03.2022)
Weitere Informationen finden Sie unter: https://lists.debian.org/debian-security-announce/2022/msg00059.html

Red Hat Bugzilla – Security Advisory vom 2022-02-16 (17.02.2022)
Weitere Informationen finden Sie unter: https://bugzilla.redhat.com/show_bug.cgi?id=2055499

PoC – Security Advisory vom 2022-02-16 (17.02.2022)
Weitere Informationen finden Sie unter: https://github.com/x0reaxeax/exec-prot-bypass

PoC – Security Advisory vom 2022-02-16 (17.02.2022)
Weitere Informationen finden Sie unter: https://github.com/szymonh/d-os-descriptor

Red Hat Bugzilla – Security Advisory vom 2022-02-16 (17.02.2022)
Weitere Informationen finden Sie unter: https://bugzilla.redhat.com/show_bug.cgi?id=2055502

Versionshistorie dieser Sicherheitswarnung

Dies ist die 9. Version des vorliegenden IT-Sicherheitshinweises pro Linux Kernel. Im Kontext Publikation weiterer Updates wird dieser Text aktualisiert. Die vorgenommenen Änderungen können Sie unter Zuhilfenahme von jener folgenden Versionshistorie reproduzieren.

31.10.2022 – Neue Updates von NetApp aufgenommen
29.07.2022 – Neue Updates von Ubuntu aufgenommen
12.05.2022 – Neue Updates von Ubuntu aufgenommen
20.04.2022 – Neue Updates von SUSE aufgenommen
31.03.2022 – Neue Updates von SUSE aufgenommen
10.03.2022 – Neue Updates von Debian aufgenommen
09.03.2022 – Neue Updates von SUSE aufgenommen
08.03.2022 – Neue Updates von Debian aufgenommen
17.02.2022 – Initiale Halterung

+++ Redaktioneller Verzeichnis: Dieser Text wurde uff Lager aktueller BSI-Information KI-gestützt erstellt. Feedback und Anmerkungen nehmen wir unter [email protected] entgegen. +++

Nachgehen Sie News.de schon zwischen Facebook, Twitter, Pinterest und YouTube? Hier finden Sie brandheiße News, aktuelle Videos und den direkten Litze zur Redaktion.
roj/news.de