Dies Bundesamt z. Hd. Sicherheit in welcher Informationstechnik (BSI) hat am 20.10.2022 zusammensetzen Sicherheitshinweis z. Hd. NGINX und NGINX Plus veröffentlicht. Die Meldung führt mehrere Schwachstellen uff, die von Angreifern ausgenutzt werden können. Betroffen von welcher Sicherheitslücke sind die Betriebssysteme UNIX, Linux und Windows sowie die Produkte NGINX NGINX Plus und NGINX NGINX.

Mehrere Schwachstellen z. Hd. NGINX und NGINX Plus gemeldet – Risiko: mittel

Risikostufe: 3 (mittel)
CVSS Kusine Score: 7,1
CVSS Zeitlich Score: 6,2
Remoteangriff: Nein

Zur Einschätzung welcher Verwundbarkeit von Computersystemen wird dasjenige Common Vulnerability Scoring System (CVSS) angewandt. Dieser CVSS-Standard ermöglicht es, potenzielle oder tatsächliche Sicherheitslücken uff Lager verschiedener Metriken miteinander zu vergleichen, um eine darauf aufbauende Prioritätenliste zur Vorwort von Gegenmaßnahmen zu erstellen. Pro die Schweregrade einer Schwachstelle werden die Attribute „keine“, „tief“, „mittel“, „hoch“ und „ungelegen“ verwendet. Dieser Kusine Score bewertet die Voraussetzungen z. Hd. zusammensetzen Offensive (u.a. Authentifizierung, Vielschichtigkeit, Privilegien, Userinteraktion) sowie dessen Konsequenzen. Beim Zeitlich Score fließen darüber hinaus die Zeit veränderbare Rahmenbedingungen in die Ordnung ein. Die Gefährdung welcher aktuellen Schwachstelle wird nachdem dem CVSS mit einem Kusine Score von 7,1 qua „mittel“ eingeschätzt.

NGINX und NGINX Plus Programmfehler: Schilderung des Angriffs

NGINX Plus ist die kommerzielle Variante von NGINX, einer Webserver-, Reverse Proxy- und E-Mail-Nachricht Proxy Software.NGINX ist eine Webserver-, Reverse Proxy- und E-Mail-Nachricht-Proxy Software.

Ein lokaler Angreifer kann mehrere Schwachstellen in NGINX Plus und NGINX ausnutzen, um zusammensetzen Denial of Tafelgeschirr Offensive durchzuführen und vertrauliche Informationen offenzulegen oder sonstige Auswirkungen zu verursachen.

Klassifiziert wurden die Schwachstellen mithilfe des CVE-Bezeichnungssystems (Common Vulnerabilities and Exposures) durch die individuellen Seriennummern CVE-2022-41741, CVE-2022-41742 und CVE-2022-41743.

Von welcher Sicherheitslücke betroffene Systeme im Syllabus

Betriebssysteme
UNIX, Linux, Windows

Produkte
NGINX NGINX Plus < R27 P1 (cpe:/a:nginx:nginx_plus)
NGINX NGINX Plus < R26 P1 (cpe:/a:nginx:nginx_plus)
NGINX NGINX Open Source < 1.23.2 (mainline) (cpe:/a:nginx:nginx)
NGINX NGINX Open Source < 1.22.1 (stable) (cpe:/a:nginx:nginx)
NGINX NGINX Open Source Subscription < R2 P1 (cpe:/a:nginx:nginx)
NGINX NGINX Open Source Subscription < R1 P1 (cpe:/a:nginx:nginx)
NGINX NGINX Ingress Controller < 2.4.1 (cpe:/a:nginx:nginx)
NGINX NGINX Ingress Controller < 1.12.5 (cpe:/a:nginx:nginx)

Allgemeine Maßnahmen zum Umgang mit IT-Schwachstellen

1. Benützer welcher betroffenen Systeme sollten solche uff dem aktuellsten Stand halten. Hersteller sind im Zusammenhang Bekanntwerden von Sicherheitslücken dazu angehalten, solche schnellstmöglich durch Fortgang eines Patches oder eines Workarounds zu beheben. Sollten neue Sicherheitsupdates verfügbar sein, installieren Sie solche zeitnah.

2. Rat einholen Sie zu Informationszwecken die im nächsten Bruchstück aufgeführten Quellen. Mehrfach enthalten solche weiterführende Informationen zur aktuellsten Version welcher betreffenden Software sowie zur Verfügbarkeit von Sicherheitspatches oder Hinweise zu Workarounds.

3. Wenden Sie sich im Zusammenhang weiteren Fragen oder Unsicherheiten an Ihren zuständigen Administrator. IT-Sicherheitsverantwortliche sollten regelmäßig prüfen, zu welcher Zeit dasjenige herstellende Unternehmen ein neues Sicherheitsupdate zur Verfügung stellt.

Quellen zu Updates, Patches und Workarounds

An dieser Stelle finden Sie weiterführende Sinister mit Informationen darüber hinaus Programmfehler-Reports, Security-Fixes und Workarounds.

NGINX Internet-Tagebuch vom 2022-10-19 (20.10.2022)
Weitere Informationen finden Sie unter: https://www.nginx.com/blog/updating-nginx-for-vulnerabilities-in-the-mp4-and-hls-video-streaming-modules/

F5 Support vom 2022-10-19 (20.10.2022)
Weitere Informationen finden Sie unter: https://support.f5.com/csp/article/K81926432

F5 Support vom 2022-10-19 (20.10.2022)
Weitere Informationen finden Sie unter: https://support.f5.com/csp/article/K28112382

F5 Support vom 2022-10-19 (20.10.2022)
Weitere Informationen finden Sie unter: https://support.f5.com/csp/article/K01112063

Versionshistorie dieser Sicherheitswarnung

Dies ist die 2. Version des vorliegenden IT-Sicherheitshinweises z. Hd. NGINX und NGINX Plus. Sollten weitere Updates bekanntgegeben werden, wird dieser Text aktualisiert. Änderungen oder Ergänzungen können Sie in dieser Versionshistorie nachlesen.

21.10.2022 – Titel korrigiert
20.10.2022 – Initiale Steckdose

+++ Redaktioneller Rauchsignal: Dieser Text wurde uff Lager aktueller BSI-Wissen KI-gestützt erstellt. Feedback und Anmerkungen nehmen wir unter [email protected] entgegen. +++

Gehorchen Sie News.de schon im Zusammenhang Facebook, Twitter, Pinterest und YouTube? Hier finden Sie brandheiße News, aktuelle Videos und den direkten Leitung zur Redaktion.
roj/news.de