Technologie

#Trustwave ModSecurity: Neue Sicherheitslücke! Schwachstelle ermöglicht Denial of Tafelgeschirr

„Trustwave ModSecurity: Neue Sicherheitslücke! Schwachstelle ermöglicht Denial of Tafelgeschirr“

Dies BSI hat verschmelzen aktuellen IT-Sicherheitshinweis für jedes Trustwave ModSecurity hrsg.. Mehr obig die betroffenen Betriebssysteme und Produkte sowie CVE-Nummern sachkundig Sie hier hinauf news.de.

Dies Bundesamt für jedes Sicherheit in jener Informationstechnik (BSI) hat am 28.06.2023 ein Update zu einer am 15.09.2020 bekanntgewordenen Sicherheitslücke für jedes Trustwave ModSecurity veröffentlicht. Betroffen von jener Sicherheitslücke sind die Betriebssysteme UNIX, Linux und Windows sowie die Produkte Fedora Linux, Trustwave ModSecurity und NGINX NGINX Plus.

Die neuesten Hersteller-Empfehlungen bzgl. Updates, Workarounds und Sicherheitspatches für jedes selbige Sicherheitslücke finden Sie hier: Fedora Security Advisory FEDORA-EPEL-2023-C5AD3565AA (Stand: 27.06.2023). Weitere nützliche Quellen werden weiter unten in diesem Vorbehalt aufgeführt.

Sicherheitshinweis für jedes Trustwave ModSecurity – Risiko: mittel

Risikostufe: 3 (mittel)
CVSS Cousine Score: 7,5
CVSS Zeitlich Score: 6,5
Remoteangriff: Ja

Zur Ordnung des Schweregrads von Schwachstellen in Computersystemen wird dies Common Vulnerability Scoring System (CVSS) angewandt. Dieser CVSS-Standard ermöglicht es, potenzielle oder tatsächliche Sicherheitslücken hinauf Fundament verschiedener Kriterien miteinander zu vergleichen, um Gegenmaßnahmen besser vorziehen zu können. Für jedes die Schweregrade einer Schwachstelle werden die Attribute „keine“, „tief“, „mittel“, „hoch“ und „unbequem“ verwendet. Dieser Cousine Score bewertet die Voraussetzungen für jedes verschmelzen Überfall (u.a. Authentifizierung, Vielschichtigkeit, Privilegien, Userinteraktion) sowie dessen Konsequenzen. Beim Zeitlich Score fließen obig die Zeit veränderbare Rahmenbedingungen in die Ordnung ein. Die Gefährdung jener aktuellen Schwachstelle wird nachher dem CVSS mit einem Cousine Score von 7,5 denn „mittel“ eingeschätzt.

Trustwave ModSecurity Programmierfehler: Schwachstelle ermöglicht Denial of Tafelgeschirr

ModSecurity ist eine Open Source Web Application Firewall, die für jedes verschiedene Webserver verfügbar ist.NGINX Plus ist die kommerzielle Variante von NGINX, einer Webserver-, Reverse Proxy- und elektronische Post Proxy Software.

Ein entfernter, anonymer Angreifer kann eine Schwachstelle in Trustwave ModSecurity und NGINX Plus ausnutzen, um verschmelzen Denial of Tafelgeschirr Überfall durchzuführen.

Klassifiziert wurde die Schwachstelle mithilfe des CVE-Referenziersystems (Common Vulnerabilities and Exposures) durch die individuelle Seriennummer CVE-2020-15598.

Von jener Sicherheitslücke betroffene Systeme im Gesamtschau

Betriebssysteme
UNIX, Linux, Windows

Produkte
Fedora Linux (cpe:/o:fedoraproject:fedora)
Trustwave ModSecurity (cpe:/a:modsecurity:modsecurity)
NGINX NGINX Plus R20 (cpe:/a:nginx:nginx_plus)
NGINX NGINX Plus R21 (cpe:/a:nginx:nginx_plus)
NGINX NGINX Plus R22 (cpe:/a:nginx:nginx_plus)

Allgemeine Maßnahmen zum Umgang mit IT-Schwachstellen

  1. Benützer jener betroffenen Systeme sollten selbige hinauf dem aktuellsten Stand halten. Hersteller sind unter Bekanntwerden von Sicherheitslücken dazu angehalten, selbige schnellstmöglich durch Erfindung eines Patches oder eines Workarounds zu beheben. Sollten Sicherheitspatches verfügbar sein, installieren Sie selbige zeitnah.
  2. Um Rat fragen Sie zu Informationszwecken die im nächsten Schritt aufgeführten Quellen. Mehrfach enthalten selbige weiterführende Informationen zur aktuellsten Version jener betreffenden Software sowie zur Verfügbarkeit von Sicherheitspatches oder Hinweise zu Workarounds.
  3. Wenden Sie sich unter weiteren Fragen oder Unsicherheiten an Ihren zuständigen Administrator. IT-Sicherheitsverantwortliche sollten regelmäßig prüfen, zu welcher Zeit jener von jener IT-Sicherheitswarnung betroffene Hersteller ein neues Sicherheitsupdate zur Verfügung stellt.

Quellen zu Updates, Patches und Workarounds

An dieser Stelle entscheiden sich weiterführende Sinister mit Informationen obig Programmierfehler-Reports, Security-Fixes und Workarounds.

Fedora Security Advisory FEDORA-EPEL-2023-C5AD3565AA vom 2023-06-27 (28.06.2023)
Weitere Informationen finden Sie unter: https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2023-c5ad3565aa

Trustwave Internet-Tagebuch (15.09.2020)
Weitere Informationen finden Sie unter: https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/modsecurity-regular-expressions-and-disputed-cve-2020-15598/

NGINX Internet-Tagebuch vom 2020-09-14 (15.09.2020)
Weitere Informationen finden Sie unter: https://www.nginx.com/blog/addressing-dos-vulnerability-cve-2020-15598-in-modsecurity/

Versionshistorie dieser Sicherheitswarnung

Dies ist die 2. Version des vorliegenden IT-Sicherheitshinweises für jedes Trustwave ModSecurity. Nebst Kundgabe weiterer Updates wird dieser Text aktualisiert. Die vorgenommenen Änderungen können Sie unter Einsatz von jener folgenden Versionshistorie reproduzieren.

15.09.2020 – Initiale Halterung
28.06.2023 – Neue Updates von Fedora aufgenommen

+++ Redaktioneller Signal: Dieser Text wurde hinauf Fundament aktueller BSI-Fakten KI-gestützt erstellt. Feedback und Anmerkungen nehmen wir unter [email protected] entgegen. +++

Gehorchen Sie News.de schon unter Facebook, Twitter, Pinterest und YouTube? Hier finden Sie brandheiße News, aktuelle Videos und den direkten Kabel zur Redaktion.
roj/news.de

Quelle

Ähnliche Artikel

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Schaltfläche "Zurück zum Anfang"