Dies Bundesamt zu Gunsten von Sicherheit in jener Informationstechnik (BSI) hat am 08.08.2024 verknüpfen Sicherheitshinweis zu Gunsten von Asterisk veröffentlicht. Betroffen von jener Sicherheitslücke sind dies operating system Linux sowie die Produkte Open Source Asterisk und Digium Certified Asterisk.

Die neuesten Hersteller-Empfehlungen in puncto Updates, Workarounds und Sicherheitspatches zu Gunsten von sie Sicherheitslücke finden Sie hier: NIST Vulnerability Database (Stand: 08.08.2024). Weitere nützliche Quellen werden weiter unten in diesem Beschränkung aufgeführt.

Sicherheitshinweis zu Gunsten von Asterisk – Risiko: mittel

Risikostufe: 5 (mittel)
CVSS Cousine Score: 7,4
CVSS Zeitlich Score: 6,7
Remoteangriff: Ja

Zur Einschätzung jener Verwundbarkeit von Computersystemen wird dies Common Vulnerability Scoring System (CVSS) angewandt. Dieser CVSS-Standard ermöglicht es, potenzielle oder tatsächliche Sicherheitslücken gen Fundament verschiedener Metriken miteinander zu vergleichen, um Gegenmaßnahmen besser vorziehen zu können. Zum Besten von die Schweregrade einer Schwachstelle werden die Attribute „keine“, „tief“, „mittel“, „hoch“ und „ungelegen“ verwendet. Dieser Cousine Score bewertet die Voraussetzungen zu Gunsten von verknüpfen Übergriff (u.a. Authentifizierung, Varianz, Privilegien, Userinteraktion) sowie dessen Konsequenzen. Dieser Zeitlich Score berücksichtigt darüber hinaus zeitliche Veränderungen in Form von jener Gefahrenlage. Dieser Schweregrad jener aktuellen Schwachstelle wird nachher dem CVSS mit einem Cousine Score von 7,4 qua „mittel“ eingestuft.

Asterisk Programmfehler: Schwachstelle ermöglicht Privilegienerweiterung und Codeausführung

Asterisk ist eine komplette Open Source Multiprotokoll Telefonanlage (PBX) gen Softwarebasis.Certified Asterisk ist eine komplette Multiprotokoll Telefonanlage (PBX) gen Softwarebasis mit erweitertem Support.

Ein entfernter authentifizierter Angreifer kann eine Schwachstelle in Asterisk und Digium Certified Asterisk ausnutzen, um seine Privilegien zu erweitern, verknüpfen blinden ssrf-Übergriff durchzuführen oder beliebigen Quellcode auszuführen.

Die Verwundbarkeit wird mit jener eindeutigen CVE-Identifikationsnummer (Common Vulnerabilities and Exposures) CVE-2024-42365 gehandelt.

Von jener Asterisk-Sicherheitslücke betroffene Systeme im Gesamtschau

operating system
Linux

Produkte
Open Source Asterisk <18.24.2 (cpe:/a:digium:asterisk)
Open Source Asterisk <20.9.2 (cpe:/a:digium:asterisk)
Open Source Asterisk <21.4.2 (cpe:/a:digium:asterisk)
Digium Certified Asterisk <18.9-cert11 (cpe:/a:digium:certified_asterisk)
Digium Certified Asterisk <20.7-cert2 (cpe:/a:digium:certified_asterisk)

Allgemeine Empfehlungen zum Umgang mit IT-Schwachstellen

1. User jener betroffenen Systeme sollten sie gen dem aktuellsten Stand halten. Hersteller sind c/o Bekanntwerden von Sicherheitslücken dazu angehalten, sie schnellstmöglich durch Weiterentwicklung eines Patches oder eines Workarounds zu beheben. Sollten Sicherheitspatches verfügbar sein, installieren Sie sie zeitnah.
2. Sich beraten lassen Sie zu Informationszwecken die im nächsten Teil aufgeführten Quellen. Vielerorts enthalten sie weiterführende Informationen zur aktuellsten Version jener betreffenden Software sowie zur Verfügbarkeit von Sicherheitspatches oder Hinweise zu Workarounds.
3. Wenden Sie sich c/o weiteren Fragen oder Unsicherheiten an Ihren zuständigen Administrator. IT-Sicherheitsverantwortliche sollten regelmäßig prüfen, zu welcher Zeit dies herstellende Unternehmen ein neues Sicherheitsupdate zur Verfügung stellt.

Hersteller-Informationen zu Updates, Patches und Workarounds

An dieser Stelle finden Sie weiterführende Sinister mit Informationen extra Programmfehler-Reports, Security-Fixes und Workarounds.

NIST Vulnerability Database vom 2024-08-08 (08.08.2024)
Weitere Informationen finden Sie unter: https://nvd.nist.gov/vuln/detail/CVE-2024-42365

Asterisk GitHub vom 2024-08-08 (08.08.2024)
Weitere Informationen finden Sie unter: https://github.com/asterisk/asterisk/security/advisories/GHSA-c4cg-9275-6w44

Versionshistorie dieser Sicherheitswarnung

Dies ist die initiale Steckdose des vorliegenden IT-Sicherheitshinweises zu Gunsten von Asterisk. Sollten Updates bekanntgegeben werden, wird dieser Text aktualisiert. Die vorgenommenen Änderungen können Sie mittels jener folgenden Versionshistorie wiederholen.

08.08.2024 – Initiale Steckdose

+++ Redaktioneller Tabelle: Dieser Text wurde gen Fundament aktueller BSI-Fakten generiert und wird je nachher Warnlage datengetrieben aktualisiert. Feedback und Anmerkungen nehmen wir unter [email protected] entgegen. +++

Verfolgen Sie News.de schon c/o Facebook, Twitter, Pinterest und YouTube? Hier finden Sie brandheiße News, aktuelle Videos und den direkten Leitung zur Redaktion.
kns/roj/news.de