Dies Bundesamt zum Besten von Sicherheit in jener Informationstechnik (BSI) hat am 17.03.2023 ein Update zu einer am 20.07.2021 bekanntgewordenen Sicherheitslücke zum Besten von MIT Kerberos hrsg.. Betroffen von jener Sicherheitslücke sind die Betriebssysteme UNIX, Linux und Windows sowie die Produkte Debian Linux, Red Hat Enterprise Linux, MIT Kerberos, Ubuntu Linux, SUSE Linux, Oracle Linux und Avaya Zauberkraft Experience Tunneleingang.

Die neuesten Hersteller-Empfehlungen bzgl. Updates, Workarounds und Sicherheitspatches zum Besten von sie Sicherheitslücke finden Sie hier: Ubuntu Security Notice USN-5959-1 (Stand: 17.03.2023). Weitere nützliche Quellen werden weiter unten in diesem Versteckspiel aufgeführt.

Sicherheitshinweis zum Besten von MIT Kerberos – Risiko: mittel

Risikostufe: 3 (mittel)
CVSS Kusine Score: 7,5
CVSS Zeitlich Score: 6,5
Remoteangriff: Ja

Zur Ordnung jener Verwundbarkeit von Computersystemen wird dies Common Vulnerability Scoring System (CVSS) angewandt. Jener CVSS-Standard ermöglicht es, potenzielle oder tatsächliche Sicherheitslücken hinaus Lager verschiedener Metriken miteinander zu vergleichen, um eine darauf aufbauende Prioritätenliste zur Präambel von Gegenmaßnahmen zu erstellen. Z. Hd. die Schweregrade einer Schwachstelle werden die Attribute „keine“, „tief“, „mittel“, „hoch“ und „ungelegen“ verwendet. Jener Kusine Score bewertet die Voraussetzungen zum Besten von verknüpfen Übergriff (u.a. Authentifizierung, Varianz, Privilegien, Userinteraktion) sowie dessen Konsequenzen. Beim Zeitlich Score fließen darüber hinaus die Zeit veränderbare Rahmenbedingungen in die Ordnung ein. Dies Risiko jener aktuellen Schwachstelle wird nachdem dem CVSS mit einem Kusine Score von 7,5 denn „mittel“ eingestuft.

MIT Kerberos Programmierfehler: Schwachstelle ermöglicht Denial of Tafelgeschirr

Kerberos ist ein verteilter Netzwerkdienst zur Authentifizierung. MIT Kerberos ist die freie Implementierung des „Kerberos network authentication protocol“, des Massachusetts Institute of Technology (MIT).

Ein entfernter, anonymer Angreifer kann eine Schwachstelle in MIT Kerberos ausnutzen, um verknüpfen Denial of Tafelgeschirr Übergriff durchzuführen.

Die Verwundbarkeit wird mit jener eindeutigen CVE-Identifikationsnummer (Common Vulnerabilities and Exposures) CVE-2021-36222 gehandelt.

Von jener Sicherheitslücke betroffene Systeme im Gesamtschau

Betriebssysteme
UNIX, Linux, Windows

Produkte
Debian Linux (cpe:/o:debian:debian_linux)
Red Hat Enterprise Linux (cpe:/o:redhat:enterprise_linux)
MIT Kerberos < 1.19.1-14 (cpe:/a:mit:kerberos)
Ubuntu Linux (cpe:/o:canonical:ubuntu_linux)
SUSE Linux (cpe:/o:suse:suse_linux)
Oracle Linux (cpe:/o:oracle:linux)
Avaya Zauberkraft Experience Tunneleingang (cpe:/a:avaya:aura_experience_portal)

Allgemeine Empfehlungen zum Umgang mit IT-Schwachstellen

1. Computer-Nutzer jener betroffenen Systeme sollten sie hinaus dem aktuellsten Stand halten. Hersteller sind im Zusammenhang Bekanntwerden von Sicherheitslücken dazu angehalten, sie schnellstmöglich durch Kreation eines Patches oder eines Workarounds zu beheben. Sollten neue Sicherheitsupdates verfügbar sein, installieren Sie sie zeitnah.

2. Rat einholen Sie zu Informationszwecken die im nächsten Bruchstück aufgeführten Quellen. X-mal enthalten sie weiterführende Informationen zur aktuellsten Version jener betreffenden Software sowie zur Verfügbarkeit von Sicherheitspatches oder Hinweise zu Workarounds.

3. Wenden Sie sich im Zusammenhang weiteren Fragen oder Unsicherheiten an Ihren zuständigen Administrator. IT-Sicherheitsverantwortliche sollten die genannten Quellen regelmäßig daraufhin prüfen, ob ein neues Sicherheitsupdate zur Verfügung steht.

Hersteller-Informationen zu Updates, Patches und Workarounds

An dieser Stelle finden Sie weiterführende Sinister mit Informationen darüber hinaus Programmierfehler-Reports, Security-Fixes und Workarounds.

Ubuntu Security Notice USN-5959-1 vom 2023-03-17 (17.03.2023)
Weitere Informationen finden Sie unter: https://ubuntu.com/security/notices/USN-5959-1

SUSE Security Update SUSE-SU-2022:2134-1 vom 2022-06-20 (21.06.2022)
Weitere Informationen finden Sie unter: https://lists.suse.com/pipermail/sle-security-updates/2022-June/011316.html

SUSE Security Update SUSE-SU-2022:1396-1 vom 2022-04-25 (26.04.2022)
Weitere Informationen finden Sie unter: https://lists.suse.com/pipermail/sle-security-updates/2022-Vierter Monat des Jahres/010822.html

Red Hat Security Advisory RHSA-2022:0056 vom 2022-03-10 (11.03.2022)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2022:0056

SUSE Security Update SUSE-SU-2022:0751-1 vom 2022-03-08 (09.03.2022)
Weitere Informationen finden Sie unter: https://lists.suse.com/pipermail/sle-security-updates/2022-March/010387.html

SUSE Security Update SUSE-SU-2022:0283-1 vom 2022-02-01 (02.02.2022)
Weitere Informationen finden Sie unter: https://lists.suse.com/pipermail/sle-security-updates/2022-February/010164.html

Red Hat Security Advisory RHSA-2021:4848 vom 2021-11-29 (30.11.2021)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2021:4848

Red Hat Security Advisory RHSA-2021:4104 vom 2021-11-02 (03.11.2021)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2021:4104

AVAYA Security Advisory ASA-2021-121 vom 2021-10-19 (21.10.2021)
Weitere Informationen finden Sie unter: https://downloads.avaya.com/css/P8/documents/101078218

Red Hat Security Advisory RHSA-2021:3873 vom 2021-10-15 (15.10.2021)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2021:3873

Red Hat Security Advisory RHSA-2021:3851 vom 2021-10-14 (14.10.2021)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2021:3851

Red Hat Security Advisory RHSA-2021:3694 vom 2021-09-29 (30.09.2021)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2021:3694

Red Hat Security Advisory RHSA-2021:3653 vom 2021-09-23 (24.09.2021)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2021:3653

Oracle Linux Security Advisory ELSA-2021-3576 vom 2021-09-23 (23.09.2021)
Weitere Informationen finden Sie unter: http://linux.oracle.com/errata/ELSA-2021-3576.html

Red Hat Security Advisory RHSA-2021:3576 vom 2021-09-21 (21.09.2021)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2021:3576

SUSE Security Update SUSE-SU-2021:2800-1 vom 2021-08-20 (23.08.2021)
Weitere Informationen finden Sie unter: https://lists.suse.com/pipermail/sle-security-updates/2021-August/009316.html

Debian Security Advisory DSA-4944 vom 2021-07-25 (26.07.2021)
Weitere Informationen finden Sie unter: https://www.debian.org/security/2021/dsa-4944

Guthub KRB5 vom 2021-07-19 (20.07.2021)
Weitere Informationen finden Sie unter: https://github.com/krb5/krb5/commit/fc98f520caefff2e5ee9a0026fdf5109944b3562

Versionshistorie dieser Sicherheitswarnung

Dies ist die 18. Version des vorliegenden IT-Sicherheitshinweises zum Besten von MIT Kerberos. Sollten weitere Updates bekanntgegeben werden, wird dieser Text aktualisiert. Änderungen oder Ergänzungen können Sie in dieser Versionshistorie nachlesen.

20.07.2021 – Initiale Steckdose
26.07.2021 – Neue Updates von Debian aufgenommen
23.08.2021 – Neue Updates von SUSE aufgenommen
21.09.2021 – Neue Updates von Red Hat aufgenommen
23.09.2021 – Neue Updates von Oracle Linux aufgenommen
24.09.2021 – Neue Updates von Red Hat aufgenommen
30.09.2021 – Neue Updates von Red Hat aufgenommen
14.10.2021 – Neue Updates von Red Hat aufgenommen
15.10.2021 – Neue Updates von Red Hat aufgenommen
21.10.2021 – Neue Updates von AVAYA aufgenommen
03.11.2021 – Neue Updates von Red Hat aufgenommen
30.11.2021 – Neue Updates von Red Hat aufgenommen
02.02.2022 – Neue Updates von SUSE aufgenommen
09.03.2022 – Neue Updates von SUSE aufgenommen
11.03.2022 – Neue Updates von Red Hat aufgenommen
26.04.2022 – Neue Updates von SUSE aufgenommen
21.06.2022 – Neue Updates von SUSE aufgenommen
17.03.2023 – Neue Updates von Ubuntu aufgenommen

+++ Redaktioneller Zeiger: Dieser Text wurde hinaus Lager aktueller BSI-Information KI-gestützt erstellt. Feedback und Anmerkungen nehmen wir unter [email protected] entgegen. +++

Hinterher gehen Sie News.de schon im Zusammenhang Facebook, Twitter, Pinterest und YouTube? Hier finden Sie brandheiße News, aktuelle Videos und den direkten Litze zur Redaktion.
roj/news.de