Dies Bundesamt zu Gunsten von Sicherheit in jener Informationstechnik (BSI) hat am 09.05.2023 ein Update zu einer am 17.12.2021 bekanntgewordenen Sicherheitslücke zu Gunsten von Logback hrsg.. Betroffen von jener Sicherheitslücke sind die Betriebssysteme UNIX, Linux und Windows sowie die Produkte Red Hat Enterprise Linux, SUSE Linux, Hitachi Ops Center und Open Source Logback.

Die neuesten Hersteller-Empfehlungen mit Bezug auf Updates, Workarounds und Sicherheitspatches zu Gunsten von jene Sicherheitslücke finden Sie hier: SUSE Security Update SUSE-SU-2023:2097-1 (Stand: 08.05.2023). Weitere nützliche Quellen werden weiter unten in diesem Handelsgut aufgeführt.

Sicherheitshinweis zu Gunsten von Logback – Risiko: hoch

Risikostufe: 4 (hoch)
CVSS Kusine Score: 8,8
CVSS Zeitlich Score: 7,7
Remoteangriff: Ja

Zur Einschätzung des Schweregrads von Sicherheitsanfälligkeiten in Computersystemen wird dasjenige Common Vulnerability Scoring System (CVSS) angewandt. Dieser CVSS-Standard ermöglicht es, potenzielle oder tatsächliche Sicherheitslücken aufwärts Fundament verschiedener Metriken miteinander zu vergleichen, um Gegenmaßnahmen besser vorziehen zu können. Zu Gunsten von die Schweregrade einer Schwachstelle werden die Attribute „keine“, „tief“, „mittel“, „hoch“ und „ungelegen“ verwendet. Dieser Kusine Score bewertet die Voraussetzungen zu Gunsten von verdongeln Offensive (u.a. Authentifizierung, Kompliziertheit, Privilegien, Userinteraktion) sowie dessen Konsequenzen. Dieser Zeitlich Score berücksichtigt darüber hinaus zeitliche Veränderungen in Form von jener Gefahrenlage. Dies Risiko jener hier behandelten Schwachstelle wird nachher dem CVSS mit einem Kusine Score von 8,8 wie „hoch“ eingestuft.

Logback Programmfehler: Schwachstelle ermöglicht Codeausführung

Logback ist jener Nachfolger des populären log4j-Projekts und stellt eine Java Logging API zur Verfügung.

Ein entfernter, authentisierter Angreifer kann eine Schwachstelle in Logback ausnutzen, um beliebigen Programmcode auszuführen.

Klassifiziert wurde die Schwachstelle mithilfe des CVE-Bezeichnungssystems (Common Vulnerabilities and Exposures) durch die individuelle Seriennummer CVE-2021-42550.

Von jener Logback-Sicherheitslücke betroffene Systeme im Gesamtschau

Betriebssysteme
UNIX, Linux, Windows

Produkte
Red Hat Enterprise Linux (cpe:/o:redhat:enterprise_linux)
SUSE Linux (cpe:/o:suse:suse_linux)
Hitachi Ops Center (cpe:/a:hitachi:ops_center)
Open Source Logback < 1.3.0-alpha11 (cpe:/a:logback:logback)
Open Source Logback < 1.2.9 (cpe:/a:logback:logback)

Allgemeine Maßnahmen zum Umgang mit IT-Schwachstellen

1. Computer-Nutzer jener betroffenen Systeme sollten jene aufwärts dem aktuellsten Stand halten. Hersteller sind zusammen mit Bekanntwerden von Sicherheitslücken dazu angehalten, jene schnellstmöglich durch Entwicklungsverlauf eines Patches oder eines Workarounds zu beheben. Sollten Sicherheitspatches verfügbar sein, installieren Sie jene zeitnah.
2. Um Rat fragen Sie zu Informationszwecken die im nächsten Ausschnitt aufgeführten Quellen. Zig-mal enthalten jene weiterführende Informationen zur aktuellsten Version jener betreffenden Software sowie zur Verfügbarkeit von Sicherheitspatches oder Hinweise zu Workarounds.
3. Wenden Sie sich zusammen mit weiteren Fragen oder Unsicherheiten an Ihren zuständigen Administrator. IT-Sicherheitsverantwortliche sollten regelmäßig prüfen, zu welcher Zeit dasjenige herstellende Unternehmen ein neues Sicherheitsupdate zur Verfügung stellt.

Quellen zu Updates, Patches und Workarounds

An dieser Stelle Ergehen sich weiterführende Sinister mit Informationen hoch Programmfehler-Reports, Security-Fixes und Workarounds.

SUSE Security Update SUSE-SU-2023:2097-1 vom 2023-05-08 (09.05.2023)
Weitere Informationen finden Sie unter: https://lists.suse.com/pipermail/sle-security-updates/2023-May/014769.html

Red Hat Security Advisory RHSA-2022:5498 vom 2022-07-05 (06.07.2022)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2022:5498

Red Hat Security Advisory RHSA-2022:1110 vom 2022-03-29 (30.03.2022)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2022:1110

Red Hat Security Advisory RHSA-2022:1108 vom 2022-03-29 (30.03.2022)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2022:1108

Hitachi Vulnerability Information HITACHI-SEC-2022-107 vom 2022-03-04 (04.03.2022)
Weitere Informationen finden Sie unter: https://www.hitachi.co.jp/Prod/comp/soft1/in aller Welt/security/info/vuls/hitachi-sec-2022-107/index.html

Jira Logback vom 2021-12-16 (17.12.2021)
Weitere Informationen finden Sie unter: https://jira.qos.ch/browse/LOGBACK-1591

Red Hat Bugzilla – Programmfehler 2033560 vom 2021-12-16 (17.12.2021)
Weitere Informationen finden Sie unter: https://bugzilla.redhat.com/show_bug.cgi?id=2033560

Versionshistorie dieser Sicherheitswarnung

Dies ist die 5. Version des vorliegenden IT-Sicherheitshinweises zu Gunsten von Logback. Sollten weitere Updates bekanntgegeben werden, wird dieser Text aktualisiert. Die vorgenommenen Änderungen können Sie via jener folgenden Versionshistorie wiederholen.

17.12.2021 – Initiale Halterung
04.03.2022 – Neue Updates von HITACHI aufgenommen
30.03.2022 – Neue Updates von Red Hat aufgenommen
06.07.2022 – Neue Updates von Red Hat aufgenommen
09.05.2023 – Neue Updates von SUSE aufgenommen

+++ Redaktioneller Kennziffer: Dieser Text wurde aufwärts Fundament aktueller BSI-Datenmaterial KI-gestützt erstellt. Feedback und Anmerkungen nehmen wir unter [email protected] entgegen. +++

Nachsteigen Sie News.de schon zusammen mit Facebook, Twitter, Pinterest und YouTube? Hier finden Sie brandheiße News, aktuelle Videos und den direkten Leiterbahn zur Redaktion.
roj/news.de