Dasjenige Bundesamt pro Sicherheit in jener Informationstechnik (BSI) hat am 19.04.2023 ein Update zu einer am 10.10.2019 bekanntgewordenen Sicherheitslücke pro OpenSSH veröffentlicht. Betroffen von jener Sicherheitslücke sind die Betriebssysteme UNIX, Linux und Windows sowie die Produkte Gentoo Linux, Open Source OpenSSH und SolarWinds Security Event Manager.

Die neuesten Hersteller-Empfehlungen mit Bezug auf Updates, Workarounds und Sicherheitspatches pro solche Sicherheitslücke finden Sie hier: Security Event Manager Release Notes (Stand: 18.04.2023). Weitere nützliche Quellen werden weiter unten in diesem Vorbehalt aufgeführt.

Sicherheitshinweis pro OpenSSH – Risiko: hoch

Risikostufe: 5 (hoch)
CVSS Kusine Score: 9,8
CVSS Zeitlich Score: 8,5
Remoteangriff: Ja

Zur Einschätzung des Schweregrads von Sicherheitsanfälligkeiten in Computersystemen wird dies Common Vulnerability Scoring System (CVSS) angewandt. Welcher CVSS-Standard ermöglicht es, potenzielle oder tatsächliche Sicherheitslücken uff Lager verschiedener Metriken miteinander zu vergleichen, um eine darauf aufbauende Prioritätenliste zur Präambel von Gegenmaßnahmen zu erstellen. Z. Hd. die Schweregrade einer Schwachstelle werden die Attribute „keine“, „tief“, „mittel“, „hoch“ und „unbequem“ verwendet. Welcher Kusine Score bewertet die Voraussetzungen pro zusammensetzen Überfall (u.a. Authentifizierung, Kompliziertheit, Privilegien, Userinteraktion) sowie dessen Konsequenzen. Beim Zeitlich Score fließen jenseits die Zeit veränderbare Rahmenbedingungen in die Priorisierung ein. Welcher Schweregrad jener aktuellen Schwachstelle wird nachher dem CVSS mit einem Kusine Score von 9,8 qua „hoch“ eingestuft.

OpenSSH Softwarefehler: Schwachstelle ermöglicht Umsetzen von beliebigem Programmcode mit Administratorrechten

OpenSSH ist eine Open Source Implementierung des Secure Shell Protokolls.

Ein entfernter, anonymer Angreifer kann eine Schwachstelle in OpenSSH ausnutzen, wenn ein experimentelles Merkmal einkompiliert wurde, um beliebigen Programmcode mit Administratorrechten auszuführen.

Klassifiziert wurde die Schwachstelle mithilfe des CVE-Bezeichnungssystems (Common Vulnerabilities and Exposures) durch die individuelle Seriennummer CVE-2019-16905.

Von jener OpenSSH-Sicherheitslücke betroffene Systeme im Syllabus

Betriebssysteme
UNIX, Linux, Windows

Produkte
Gentoo Linux (cpe:/o:gentoo:linux)
Open Source OpenSSH < 8.1 (cpe:/a:openbsd:openssh)
SolarWinds Security Event Manager < 2023.2 (cpe:/a:solarwinds:security_event_manager)

Allgemeine Empfehlungen zum Umgang mit IT-Sicherheitslücken

1. Nutzer jener betroffenen Systeme sollten solche uff dem aktuellsten Stand halten. Hersteller sind im Rahmen Bekanntwerden von Sicherheitslücken dazu angehalten, solche schnellstmöglich durch Schöpfung eines Patches oder eines Workarounds zu beheben. Sollten neue Sicherheitsupdates verfügbar sein, installieren Sie solche zeitnah.

2. Sich beraten lassen Sie zu Informationszwecken die im nächsten Phase aufgeführten Quellen. X-mal enthalten solche weiterführende Informationen zur aktuellsten Version jener betreffenden Software sowie zur Verfügbarkeit von Sicherheitspatches oder Hinweise zu Workarounds.

3. Wenden Sie sich im Rahmen weiteren Fragen oder Unsicherheiten an Ihren zuständigen Administrator. IT-Sicherheitsverantwortliche sollten regelmäßig prüfen, zu welcher Zeit jener von jener IT-Sicherheitswarnung betroffene Hersteller ein neues Sicherheitsupdate zur Verfügung stellt.

Quellen zu Updates, Patches und Workarounds

An dieser Stelle finden Sie weiterführende Sinister mit Informationen jenseits Softwarefehler-Reports, Security-Fixes und Workarounds.

Security Event Manager Release Notes vom 2023-04-18 (19.04.2023)
Weitere Informationen finden Sie unter: https://documentation.solarwinds.com/en/Success_Center/SEM/content/release_notes/sem_2023-2_release_notes.htm

Gentoo Security Advisory GLSA 201911-01 vom 2019-11-07 (08.11.2019)
Weitere Informationen finden Sie unter: https://security.gentoo.org/glsa/201911-01

Patriotisch Vulnerbility Database CVE-2019-16905 vom 2019-10-09 (10.10.2019)
Weitere Informationen finden Sie unter: https://nvd.nist.gov/vuln/detail/CVE-2019-16905

OpenSSH Release Notes 8.1 vom 2019-10-09 (10.10.2019)
Weitere Informationen finden Sie unter: https://www.openssh.com/txt/release-8.1

Versionshistorie dieser Sicherheitswarnung

Dies ist die 4. Version des vorliegenden IT-Sicherheitshinweises pro OpenSSH. Sollten weitere Updates bekanntgegeben werden, wird dieser Text aktualisiert. Die vorgenommenen Änderungen können Sie durch jener folgenden Versionshistorie wiederholen.

10.10.2019 – Initiale Halterung
11.10.2019 – Erläuterung ergänzt
08.11.2019 – Neue Updates von Gentoo
19.04.2023 – Neue Updates aufgenommen

+++ Redaktioneller Signal: Dieser Text wurde uff Lager aktueller BSI-Datenansammlung KI-gestützt erstellt. Feedback und Anmerkungen nehmen wir unter [email protected] entgegen. +++

Nachstellen Sie News.de schon im Rahmen Facebook, Twitter, Pinterest und YouTube? Hier finden Sie brandheiße News, aktuelle Videos und den direkten Leiter zur Redaktion.
roj/news.de