Dies Bundesamt zu Gunsten von Sicherheit in jener Informationstechnik (BSI) hat am 30.06.2023 ein Update zu einer am 31.12.2019 bekanntgewordenen Sicherheitslücke zu Gunsten von sudo hrsg.. Betroffen von jener Sicherheitslücke sind die Betriebssysteme UNIX und Linux sowie die Produkte IBM DB2, Red Hat Enterprise Linux und Open Source sudo.

Die neuesten Hersteller-Empfehlungen in Sachen Updates, Workarounds und Sicherheitspatches zu Gunsten von selbige Sicherheitslücke finden Sie hier: IBM Security Bulletin 7008449 (Stand: 29.06.2023). Weitere nützliche Quellen werden weiter unten in diesem Produkt aufgeführt.

Sicherheitshinweis zu Gunsten von sudo – Risiko: mittel

Risikostufe: 5 (mittel)
CVSS Cousine Score: 6,5
CVSS Zeitlich Score: 5,7
Remoteangriff: Ja

Zur Einschätzung jener Verwundbarkeit von Computersystemen wird dasjenige Common Vulnerability Scoring System (CVSS) angewandt. Jener CVSS-Standard ermöglicht es, potenzielle oder tatsächliche Sicherheitslücken aufwärts Grund verschiedener Metriken miteinander zu vergleichen, um Gegenmaßnahmen besser vorziehen zu können. Für jedes die Schweregrade einer Schwachstelle werden die Attribute „keine“, „tief“, „mittel“, „hoch“ und „ungelegen“ verwendet. Jener Cousine Score bewertet die Voraussetzungen zu Gunsten von kombinieren Überfall (u.a. Authentifizierung, Kompliziertheit, Privilegien, Userinteraktion) sowie dessen Konsequenzen. Jener Zeitlich Score berücksichtigt darüber hinaus zeitliche Veränderungen im Sinne als jener Gefahrenlage. Die Gefährdung jener hier behandelten Schwachstelle wird nachher dem CVSS mit einem Cousine Score von 6,5 denn „mittel“ eingeschätzt.

sudo Softwarefehler: Mehrere Schwachstellen zuteil werden lassen Privilegieneskalation

Sudo ist ein Linux System Werkzeug um Befehle unter anderem Benutzernamen/Gruppennamen (UID/GID) auszuführen.

Ein entfernter, anonymer Angreifer kann mehrere Schwachstellen in sudo ausnutzen, um seine Privilegien zu steigern.

Die Verwundbarkeit wird mit den eindeutigen CVE-Identifikationsnummern (Common Vulnerabilities and Exposures) CVE-2019-19232 und CVE-2019-19234 gehandelt.

Von jener sudo-Sicherheitslücke betroffene Systeme im Zusammenfassung

Betriebssysteme
UNIX, Linux

Produkte
IBM DB2 (cpe:/a:ibm:db2)
Red Hat Enterprise Linux (cpe:/o:redhat:enterprise_linux)
Open Source sudo < 1.30 (cpe:/a:todd_miller:sudo)

Allgemeine Maßnahmen zum Umgang mit IT-Sicherheitslücken

1. User jener betroffenen Anwendungen sollten selbige aufwärts dem aktuellsten Stand halten. Hersteller sind nebst Bekanntwerden von Sicherheitslücken dazu angehalten, selbige schnellstmöglich durch Kreation eines Patches oder eines Workarounds zu beheben. Sollten Sicherheitspatches verfügbar sein, installieren Sie selbige zeitnah.
2. Rat einholen Sie zu Informationszwecken die im nächsten Segment aufgeführten Quellen. X-mal enthalten selbige weiterführende Informationen zur aktuellsten Version jener betreffenden Software sowie zur Verfügbarkeit von Sicherheitspatches oder Hinweise zu Workarounds.
3. Wenden Sie sich nebst weiteren Fragen oder Unsicherheiten an Ihren zuständigen Administrator. IT-Sicherheitsverantwortliche sollten regelmäßig prüfen, zu welcher Zeit jener von jener IT-Sicherheitswarnung betroffene Hersteller ein neues Sicherheitsupdate zur Verfügung stellt.

Quellen zu Updates, Patches und Workarounds

An dieser Stelle finden Sie weiterführende Sinister mit Informationen weiterführend Softwarefehler-Reports, Security-Fixes und Workarounds.

IBM Security Bulletin 7008449 vom 2023-06-29 (30.06.2023)
Weitere Informationen finden Sie unter: https://www.ibm.com/support/pages/node/7008449

Red Hat Security Advisory RHSA-2020:3194 vom 2020-07-28 (29.07.2020)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2020:3194

Red Hat Security Advisory RHSA-2020:1804 vom 2020-04-28 (29.04.2020)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2020:1804

NIST Database vom 2019-12-30 (31.12.2019)
Weitere Informationen finden Sie unter: https://nvd.nist.gov/vuln/detail/CVE-2019-19232

NIST Database vom 2019-12-30 (31.12.2019)
Weitere Informationen finden Sie unter: https://nvd.nist.gov/vuln/detail/CVE-2019-19234

Versionshistorie dieser Sicherheitswarnung

Dies ist die 5. Version des vorliegenden IT-Sicherheitshinweises zu Gunsten von sudo. Sollten weitere Updates bekanntgegeben werden, wird dieser Text aktualisiert. Änderungen oder Ergänzungen können Sie in dieser Versionshistorie nachlesen.

31.12.2019 – Initiale Halterung
05.03.2020 – Verweis(en) aufgenommen: FEDORA-2020-8B563BC5F4, FEDORA-2020-7C1B270959
29.04.2020 – Neue Updates von Red Hat aufgenommen
29.07.2020 – Neue Updates von Red Hat aufgenommen
30.06.2023 – Neue Updates von IBM aufgenommen

+++ Redaktioneller Verzeichnis: Dieser Text wurde aufwärts Grund aktueller BSI-Information KI-gestützt erstellt. Feedback und Anmerkungen nehmen wir unter [email protected] entgegen. +++

Hören Sie News.de schon nebst Facebook, Twitter, Pinterest und YouTube? Hier finden Sie brandheiße News, aktuelle Videos und den direkten Leitung zur Redaktion.
roj/news.de