Dasjenige Bundesamt zu Händen Sicherheit in dieser Informationstechnik (BSI) hat am 01.03.2023 verknüpfen Sicherheitshinweis zu Händen Redis gemeldet. Betroffen von dieser Sicherheitslücke sind die Betriebssysteme UNIX und Linux sowie die Produkte Fedora Linux, SUSE Linux und Open Source Redis. Zuletzt wurde selbige Warnung am 10.03.2023 aktualisiert.

Die neuesten Hersteller-Empfehlungen hinsichtlich Updates, Workarounds und Sicherheitspatches zu Händen selbige Sicherheitslücke finden Sie hier: SUSE Security Update SUSE-SU-2023:0693-1 (Stand: 10.03.2023). Weitere nützliche Quellen werden weiter unten in diesem Handelsgut aufgeführt.

Sicherheitshinweis zu Händen Redis – Risiko: mittel

Risikostufe: 3 (mittel)
CVSS Cousine Score: 5,5
CVSS Zeitlich Score: 4,8
Remoteangriff: Nein

Zur Ordnung des Schweregrads von Sicherheitsanfälligkeiten in Computersystemen wird dasjenige Common Vulnerability Scoring System (CVSS) angewandt. Jener CVSS-Standard ermöglicht es, potenzielle oder tatsächliche Sicherheitslücken aufwärts Lager verschiedener Metriken miteinander zu vergleichen, um Gegenmaßnahmen besser vorziehen zu können. Zu Gunsten von die Schweregrade einer Schwachstelle werden die Attribute „keine“, „tief“, „mittel“, „hoch“ und „unbequem“ verwendet. Jener Cousine Score bewertet die Voraussetzungen zu Händen verknüpfen Offensive (u.a. Authentifizierung, Varianz, Privilegien, Userinteraktion) sowie dessen Konsequenzen. Jener Zeitlich Score berücksichtigt darüber hinaus zeitliche Veränderungen im Sinne als dieser Gefahrenlage. Die Gefährdung dieser aktuellen Schwachstelle wird nachher dem CVSS mit einem Cousine Score von 5,5 qua „mittel“ eingeschätzt.

Redis Programmierfehler: Mehrere Schwachstellen zuteilen Denial of Tafelgeschirr

Redis ist ein In-Memory-Datenstrukturspeicher, dieser qua Datensammlung, Puffer und Message Broker verwendet wird.

Ein entfernter, authentisierter Angreifer kann mehrere Schwachstellen in Redis ausnutzen, um verknüpfen Denial of Tafelgeschirr Offensive durchzuführen.

Die Verwundbarkeit wird mit den eindeutigen CVE-Seriennummern (Common Vulnerabilities and Exposures) CVE-2023-25155 und CVE-2022-36021 gehandelt.

Von dieser Redis-Sicherheitslücke betroffene Systeme im Syllabus

Betriebssysteme
UNIX, Linux

Produkte
Fedora Linux (cpe:/o:fedoraproject:fedora)
SUSE Linux (cpe:/o:suse:suse_linux)
Open Source Redis < 6.0.18 (cpe:/a:redislabs:redis)
Open Source Redis < 6.2.11 (cpe:/a:redislabs:redis)
Open Source Redis < 7.0.9 (cpe:/a:redislabs:redis)

Allgemeine Empfehlungen zum Umgang mit IT-Schwachstellen

1. Computer-Nutzer dieser betroffenen Systeme sollten selbige aufwärts dem aktuellsten Stand halten. Hersteller sind im Rahmen Bekanntwerden von Sicherheitslücken dazu angehalten, selbige schnellstmöglich durch Fortgang eines Patches oder eines Workarounds zu beheben. Sollten Sicherheitspatches verfügbar sein, installieren Sie selbige zeitnah.

2. Um Rat fragen Sie zu Informationszwecken die im nächsten Stückchen aufgeführten Quellen. X-mal enthalten selbige weiterführende Informationen zur aktuellsten Version dieser betreffenden Software sowie zur Verfügbarkeit von Sicherheitspatches oder Hinweise zu Workarounds.

3. Wenden Sie sich im Rahmen weiteren Fragen oder Unsicherheiten an Ihren zuständigen Administrator. IT-Sicherheitsverantwortliche sollten regelmäßig prüfen, zu welcher Zeit dasjenige herstellende Unternehmen ein neues Sicherheitsupdate zur Verfügung stellt.

Hersteller-Informationen zu Updates, Patches und Workarounds

An dieser Stelle entscheiden sich weiterführende Sinister mit Informationen droben Programmierfehler-Reports, Security-Fixes und Workarounds.

SUSE Security Update SUSE-SU-2023:0693-1 vom 2023-03-10 (10.03.2023)
Weitere Informationen finden Sie unter: https://lists.suse.com/pipermail/sle-security-updates/2023-March/014015.html

Fedora Security Advisory FEDORA-2023-7A98E2D545 vom 2023-03-02 (02.03.2023)
Weitere Informationen finden Sie unter: https://bodhi.fedoraproject.org/updates/FEDORA-2023-7a98e2d545

RedHat Bugzilla vom 2023-02-28 (01.03.2023)
Weitere Informationen finden Sie unter: https://bugzilla.redhat.com/show_bug.cgi?id=2174305

RedHat Bugzilla vom 2023-02-28 (01.03.2023)
Weitere Informationen finden Sie unter: https://bugzilla.redhat.com/show_bug.cgi?id=2174306

Versionshistorie dieser Sicherheitswarnung

Dies ist die 4. Version des vorliegenden IT-Sicherheitshinweises zu Händen Redis. Im Kontext Veröffentlichung weiterer Updates wird dieser Text aktualisiert. Änderungen oder Ergänzungen können Sie in dieser Versionshistorie nachlesen.

01.03.2023 – Initiale Halterung
02.03.2023 – Neue Updates von Fedora aufgenommen
03.03.2023 – Korrektur Produktzuordnung Fedora
10.03.2023 – Neue Updates von SUSE aufgenommen

+++ Redaktioneller Kennziffer: Dieser Text wurde aufwärts Lager aktueller BSI-Information KI-gestützt erstellt. Feedback und Anmerkungen nehmen wir unter [email protected] entgegen. +++

Nachgehen Sie News.de schon im Rahmen Facebook, Twitter, Pinterest und YouTube? Hier finden Sie brandheiße News, aktuelle Videos und den direkten Leitung zur Redaktion.
roj/news.de