Dies Bundesamt pro Sicherheit in jener Informationstechnik (BSI) hat am 19.12.2022 ein Update zu einer am 17.08.2021 bekanntgewordenen Sicherheitslücke pro cURL + libcurl veröffentlicht. Betroffen von jener Sicherheitslücke sind die Betriebssysteme UNIX, Linux und NetApp Appliance sowie die Produkte NetApp Data ONTAP, Gentoo Linux, Open Source cURL und Open Source libcurl.

Die neuesten Hersteller-Empfehlungen in puncto Updates, Workarounds und Sicherheitspatches pro ebendiese Sicherheitslücke finden Sie hier: Gentoo Linux Security Advisory GLSA-202212-01 (Stand: 19.12.2022). Weitere nützliche Sinister werden weiter unten in diesem Vorbehalt aufgeführt.

Sicherheitshinweis pro cURL + libcurl – Risiko: mittel

Risikostufe: 4 (mittel)
CVSS Kusine Score: 7,5
CVSS Zeitlich Score: 6,5
Remoteangriff: Ja

Zur Priorisierung jener Verwundbarkeit von Computersystemen wird dies Common Vulnerability Scoring System (CVSS) angewandt. Dieser CVSS-Standard ermöglicht es, potenzielle oder tatsächliche Sicherheitslücken hinaus Fundament verschiedener Kriterien miteinander zu vergleichen, um Gegenmaßnahmen besser vorziehen zu können. Z. Hd. die Schweregrade einer Schwachstelle werden die Attribute „keine“, „tief“, „mittel“, „hoch“ und „ungelegen“ verwendet. Dieser Kusine Score bewertet die Voraussetzungen pro verschmelzen Sturm (u.a. Authentifizierung, Vielschichtigkeit, Privilegien, Userinteraktion) sowie dessen Konsequenzen. Beim Zeitlich Score fließen hoch die Zeit veränderbare Rahmenbedingungen in die Priorisierung ein. Dieser Schweregrad jener hier behandelten Schwachstelle wird nachher dem CVSS mit einem Kusine Score von 7,5 wie „mittel“ eingestuft.

cURL + libcurl Softwarefehler: Schwachstelle ermöglicht Umgehen von Sicherheitsvorkehrungen

cURL ist eine Client-Software, die dies Tauschen von Dateien mittels mehrerer Protokolle wie z. B. Hypertext Transfer Protocol oder FTP erlaubt.libcurl ist eine Bibliothek pro Client-Software, die dies Tauschen von Dateien mittels mehrerer Protokolle wie z. B. Hypertext Transfer Protocol oder FTP erlaubt.

Ein Angreifer kann eine Schwachstelle in cURL und libcurl unter macOS ausnutzen, um Sicherheitsvorkehrungen zu umgehen.

Klassifiziert wurde die Schwachstelle mithilfe des CVE-Referenziersystems (Common Vulnerabilities and Exposures) durch die individuelle Seriennummer CVE-2021-22926.

Von jener Sicherheitslücke betroffene Systeme im Zusammenfassung

Betriebssysteme
UNIX, Linux, NetApp Appliance

Produkte
NetApp Data ONTAP (cpe:/a:netapp:data_ontap)
Gentoo Linux (cpe:/o:gentoo:linux)
Open Source cURL < 7.78.0 (cpe:/a:curl:curl)
Open Source libcurl >= 7.33.0 (cpe:/a:open_source:libcurl)

Allgemeine Empfehlungen zum Umgang mit IT-Sicherheitslücken

1. Nutzer jener betroffenen Systeme sollten ebendiese hinaus dem aktuellsten Stand halten. Hersteller sind unter Bekanntwerden von Sicherheitslücken dazu angehalten, ebendiese schnellstmöglich durch Weiterentwicklung eines Patches oder eines Workarounds zu beheben. Sollten Sicherheitspatches verfügbar sein, installieren Sie ebendiese zeitnah.

2. Sich beraten lassen Sie zu Informationszwecken die im nächsten Stückchen aufgeführten Quellen. Oft enthalten ebendiese weiterführende Informationen zur aktuellsten Version jener betreffenden Software sowie zur Verfügbarkeit von Sicherheitspatches oder Hinweise zu Workarounds.

3. Wenden Sie sich unter weiteren Fragen oder Unsicherheiten an Ihren zuständigen Administrator. IT-Sicherheitsverantwortliche sollten die genannten Quellen regelmäßig daraufhin prüfen, ob ein neues Sicherheitsupdate zur Verfügung steht.

Quellen zu Updates, Patches und Workarounds

An dieser Stelle Ergehen sich weiterführende Sinister mit Informationen hoch Softwarefehler-Reports, Security-Fixes und Workarounds.

Gentoo Linux Security Advisory GLSA-202212-01 vom 2022-12-19 (19.12.2022)
Weitere Informationen finden Sie unter: https://security.gentoo.org/glsa/202212-01

NetApp Security Advisory NTAP-20210902-0003 vom 2021-09-02 (02.09.2021)
Weitere Informationen finden Sie unter: https://security.netapp.com/advisory/ntap-20210902-0003/

Patriotisch Vulnerability Database vom 2021-08-16 (17.08.2021)
Weitere Informationen finden Sie unter: https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2021-22926

Curl Security Advisory (17.08.2021)
Weitere Informationen finden Sie unter: https://curl.se/docs/CVE-2021-22926.html

Versionshistorie dieser Sicherheitswarnung

Dies ist die 5. Version des vorliegenden IT-Sicherheitshinweises pro cURL + libcurl. Sollten weitere Updates bekanntgegeben werden, wird dieser Text aktualisiert. Die vorgenommenen Änderungen können Sie via jener folgenden Versionshistorie reproduzieren.

19.12.2022 – Neue Updates von Gentoo aufgenommen
17.08.2021 – Initiale Steckdose
18.08.2021 – Korrektur
19.08.2021 – Verweis ergänzt
02.09.2021 – Neue Updates von NetApp aufgenommen

+++ Redaktioneller Signal: Dieser Text wurde hinaus Fundament aktueller BSI-Fakten KI-gestützt erstellt. Feedback und Anmerkungen nehmen wir unter [email protected] entgegen. +++

Verfolgen Sie News.de schon unter Facebook, Twitter, Pinterest und YouTube? Hier finden Sie brandheiße News, aktuelle Videos und den direkten Litze zur Redaktion.
roj/news.de