Dies Bundesamt zu Gunsten von Sicherheit in welcher Informationstechnik (BSI) hat am 21.04.2023 ein Update zu einer am 07.10.2022 bekanntgewordenen Sicherheitslücke mit mehreren Schwachstellen zu Gunsten von dbus veröffentlicht. Betroffen von welcher Sicherheitslücke sind die Betriebssysteme UNIX und Linux sowie die Produkte Debian Linux, Red Hat OpenShift, Amazon Linux 2, Red Hat Enterprise Linux, Ubuntu Linux, SUSE Linux, Oracle Linux und Open Source dbus.

Die neuesten Hersteller-Empfehlungen in Sachen Updates, Workarounds und Sicherheitspatches zu Gunsten von solche Sicherheitslücke finden Sie hier: Amazon Linux Security Advisory ALAS-2023-1730 (Stand: 21.04.2023). Weitere nützliche Sinister werden weiter unten in diesem Vorbehalt aufgeführt.

Mehrere Schwachstellen zu Gunsten von dbus – Risiko: hoch

Risikostufe: 5 (hoch)
CVSS Cousine Score: 7,8
CVSS Zeitlich Score: 7,0
Remoteangriff: Nein

Zur Ordnung welcher Verwundbarkeit von Computersystemen wird dasjenige Common Vulnerability Scoring System (CVSS) angewandt. Jener CVSS-Standard ermöglicht es, potenzielle oder tatsächliche Sicherheitslücken hinaus Sockel verschiedener Metriken miteinander zu vergleichen, um eine darauf aufbauende Prioritätenliste zur Herbeiführen von Gegenmaßnahmen zu erstellen. Zu Gunsten von die Schweregrade einer Schwachstelle werden die Attribute „keine“, „tief“, „mittel“, „hoch“ und „ungelegen“ verwendet. Jener Cousine Score bewertet die Voraussetzungen zu Gunsten von verschmelzen Übergriff (u.a. Authentifizierung, Kompliziertheit, Privilegien, Userinteraktion) sowie dessen Konsequenzen. Beim Zeitlich Score fließen oben die Zeit veränderbare Rahmenbedingungen in die Ordnung ein. Die Gefährdung welcher hier behandelten Schwachstelle wird nachdem dem CVSS mit einem Cousine Score von 7,8 qua „hoch“ eingestuft.

dbus Programmfehler: Zusammenfassung welcher bekannten Schwachstellen

D-Bus ist ein Nachrichtenbus-System zur Interprozesskommunikation. Es wird unter vielen Desktop-Umgebungen hinaus Open Source Sockel eingesetzt.

Ein lokaler Angreifer kann mehrere Schwachstellen in dbus ausnutzen, um verschmelzen Denial of Tafelgeschirr Übergriff durchzuführen, Informationen offenzulegen oder beliebigen Programmcode mit Administratorrechten auszuführen.

Klassifiziert wurden die Schwachstellen mithilfe des CVE-Referenziersystems (Common Vulnerabilities and Exposures) durch die individuellen Seriennummern CVE-2022-42010, CVE-2022-42011 und CVE-2022-42012.

Von welcher dbus-Sicherheitslücke betroffene Systeme im Gesamtschau

Betriebssysteme
UNIX, Linux

Produkte
Debian Linux (cpe:/o:debian:debian_linux)
Red Hat OpenShift (cpe:/a:redhat:openshift)
Amazon Linux 2 (cpe:/o:amazon:linux_2)
Red Hat Enterprise Linux (cpe:/o:redhat:enterprise_linux)
Ubuntu Linux (cpe:/o:canonical:ubuntu_linux)
SUSE Linux (cpe:/o:suse:suse_linux)
Oracle Linux (cpe:/o:oracle:linux)
Open Source dbus < 1.12.24-0+deb11u1 (cpe:/a:freedesktop:libdbus)

Allgemeine Empfehlungen zum Umgang mit IT-Sicherheitslücken

1. User welcher betroffenen Anwendungen sollten solche hinaus dem aktuellsten Stand halten. Hersteller sind unter Bekanntwerden von Sicherheitslücken dazu angehalten, solche schnellstmöglich durch Schöpfung eines Patches oder eines Workarounds zu beheben. Sollten neue Sicherheitsupdates verfügbar sein, installieren Sie solche zeitnah.

2. Rat einholen Sie zu Informationszwecken die im nächsten Stück aufgeführten Quellen. Vielmals enthalten solche weiterführende Informationen zur aktuellsten Version welcher betreffenden Software sowie zur Verfügbarkeit von Sicherheitspatches oder Hinweise zu Workarounds.

3. Wenden Sie sich unter weiteren Fragen oder Unsicherheiten an Ihren zuständigen Administrator. IT-Sicherheitsverantwortliche sollten regelmäßig prüfen, zu welcher Zeit welcher von welcher IT-Sicherheitswarnung betroffene Hersteller ein neues Sicherheitsupdate zur Verfügung stellt.

Quellen zu Updates, Patches und Workarounds

An dieser Stelle finden Sie weiterführende Sinister mit Informationen oben Programmfehler-Reports, Security-Fixes und Workarounds.

Amazon Linux Security Advisory ALAS-2023-1730 vom 2023-04-21 (21.04.2023)
Weitere Informationen finden Sie unter: https://alas.aws.amazon.com/ALAS-2023-1730.html

Amazon Linux Security Advisory ALAS-2023-2006 vom 2023-04-05 (06.04.2023)
Weitere Informationen finden Sie unter: https://alas.aws.amazon.com/AL2/ALAS-2023-2006.html

Red Hat Security Advisory RHSA-2023:0335 vom 2023-01-23 (24.01.2023)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2023:0335

Oracle Linux Security Advisory ELSA-2023-0335 vom 2023-01-24 (24.01.2023)
Weitere Informationen finden Sie unter: https://linux.oracle.com/errata/ELSA-2023-0335.html

Oracle Linux Security Advisory ELSA-2023-0096 vom 2023-01-12 (13.01.2023)
Weitere Informationen finden Sie unter: https://linux.oracle.com/errata/ELSA-2023-0096.html

Red Hat Security Advisory RHSA-2023:0096 vom 2023-01-12 (12.01.2023)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2023:0096

Red Hat Security Advisory RHSA-2022:8893 vom 2022-12-15 (16.12.2022)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2022:8893

Red Hat Security Advisory RHSA-2022:8977 vom 2022-12-13 (14.12.2022)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2022:8977

Amazon Linux Security Advisory ALAS-2022-260 vom 2022-12-09 (12.12.2022)
Weitere Informationen finden Sie unter: https://alas.aws.amazon.com/AL2022/ALAS-2022-260.html

Red Hat Security Advisory RHSA-2022:8812 vom 2022-12-06 (07.12.2022)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2022:8812

SUSE Security Update SUSE-SU-2022:4295-1 vom 2022-11-29 (30.11.2022)
Weitere Informationen finden Sie unter: https://lists.suse.com/pipermail/sle-security-updates/2022-November/013162.html

SUSE Security Update SUSE-SU-2022:3804-1 vom 2022-10-27 (28.10.2022)
Weitere Informationen finden Sie unter: https://lists.suse.com/pipermail/sle-security-updates/2022-October/012728.html

SUSE Security Update SUSE-SU-2022:3805-1 vom 2022-10-27 (28.10.2022)
Weitere Informationen finden Sie unter: https://lists.suse.com/pipermail/sle-security-updates/2022-October/012727.html

SUSE Security Update SUSE-SU-2022:3806-1 vom 2022-10-27 (28.10.2022)
Weitere Informationen finden Sie unter: https://lists.suse.com/pipermail/sle-security-updates/2022-October/012729.html

Ubuntu Security Notice USN-5704-1 vom 2022-10-27 (28.10.2022)
Weitere Informationen finden Sie unter: https://ubuntu.com/security/notices/USN-5704-1

Fedora Security Advisory FEDORA-2022-076544C8AA vom 2022-10-12 (13.10.2022)
Weitere Informationen finden Sie unter: https://bodhi.fedoraproject.org/updates/FEDORA-2022-076544c8aa

PoC hinaus gitlab.freedesktop.org vom 2022-10-10 (11.10.2022)
Weitere Informationen finden Sie unter: https://gitlab.freedesktop.org/dbus/dbus/-/issues/418

PoC hinaus gitlab.freedesktop.org vom 2022-10-10 (11.10.2022)
Weitere Informationen finden Sie unter: https://gitlab.freedesktop.org/dbus/dbus/-/issues/413

PoC hinaus gitlab.freedesktop.org vom 2022-10-10 (11.10.2022)
Weitere Informationen finden Sie unter: https://gitlab.freedesktop.org/dbus/dbus/-/issues/417

Debian Security Advisory DLA-3142 vom 2022-10-10 (11.10.2022)
Weitere Informationen finden Sie unter: https://lists.debian.org/debian-lts-announce/2022/10/msg00011.html

Element in welcher OSS-Mailinglist vom 2022-10-06 (07.10.2022)
Weitere Informationen finden Sie unter: https://seclists.org/oss-sec/2022/q4/7

Debian Security Advisory: DSA-5250 vom 2022-10-06 (07.10.2022)
Weitere Informationen finden Sie unter: https://lists.debian.org/debian-security-announce/2022/msg00219.html

Versionshistorie dieser Sicherheitswarnung

Dies ist die 16. Version des vorliegenden IT-Sicherheitshinweises zu Gunsten von dbus. C/o Veröffentlichung weiterer Updates wird dieser Text aktualisiert. Die vorgenommenen Änderungen können Sie via welcher folgenden Versionshistorie reproduzieren.

07.10.2022 – Initiale Halterung
10.10.2022 – Verweis(en) aufgenommen: FEDORA-2022-B0C2F2AB74
11.10.2022 – Neue Updates von Debian aufgenommen
12.10.2022 – Exploit aufgenommen
13.10.2022 – Neue Updates von Fedora aufgenommen
28.10.2022 – Neue Updates von Ubuntu und SUSE aufgenommen
30.11.2022 – Neue Updates von SUSE aufgenommen
07.12.2022 – Neue Updates von Red Hat aufgenommen
12.12.2022 – Neue Updates von Amazon aufgenommen
14.12.2022 – Neue Updates von Red Hat aufgenommen
16.12.2022 – Neue Updates von Red Hat aufgenommen
12.01.2023 – Neue Updates von Red Hat aufgenommen
13.01.2023 – Neue Updates von Oracle Linux aufgenommen
24.01.2023 – Neue Updates von Oracle Linux und Red Hat aufgenommen
06.04.2023 – Neue Updates von Amazon aufgenommen
21.04.2023 – Neue Updates von Amazon aufgenommen

+++ Redaktioneller Verzeichnis: Dieser Text wurde hinaus Sockel aktueller BSI-Fakten KI-gestützt erstellt. Feedback und Anmerkungen nehmen wir unter [email protected] entgegen. +++

Nachsteigen Sie News.de schon unter Facebook, Twitter, Pinterest und YouTube? Hier finden Sie brandheiße News, aktuelle Videos und den direkten Kabel zur Redaktion.
roj/news.de