Dasjenige Bundesamt pro Sicherheit in dieser Informationstechnik (BSI) hat am 08.12.2024 ein Update zu einer am 05.07.2021 bekanntgewordenen Sicherheitslücke mit mehreren Schwachstellen pro Cacti RRDtool veröffentlicht. Betroffen von dieser Sicherheitslücke sind die Betriebssysteme Linux, UNIX und Windows sowie die Produkte Gentoo Linux und Open Source Cacti.

Die neuesten Hersteller-Empfehlungen in puncto Updates, Workarounds und Sicherheitspatches pro ebendiese Sicherheitslücke finden Sie hier: Gentoo Linux Security Advisory GLSA-202412-02 (Stand: 07.12.2024). Weitere nützliche Sinister werden weiter unten in diesem Beitrag aufgeführt.

Mehrere Schwachstellen pro Cacti RRDtool – Risiko: mittel

Risikostufe: 3 (mittel)
CVSS Kusine Score: 6,1
CVSS Zeitlich Score: 5,3
Remoteangriff: Ja

Zur Einschätzung des Schweregrads von Schwachstellen in Computersystemen wird dies Common Vulnerability Scoring System (CVSS) angewandt. Dieser CVSS-Standard ermöglicht es, potenzielle oder tatsächliche Sicherheitslücken aufwärts Fundament verschiedener Kriterien miteinander zu vergleichen, um eine darauf aufbauende Prioritätenliste zur Präambel von Gegenmaßnahmen zu erstellen. Pro die Schweregrade einer Schwachstelle werden die Attribute „keine“, „tief“, „mittel“, „hoch“ und „unbequem“ verwendet. Dieser Kusine Score bewertet die Voraussetzungen pro verknüpfen Sturm (u.a. Authentifizierung, Kompliziertheit, Privilegien, Userinteraktion) sowie dessen Konsequenzen. Beim Zeitlich Score fließen reichlich die Zeit veränderbare Rahmenbedingungen in die Ordnung ein. Dasjenige Risiko dieser hier behandelten Schwachstelle wird nachher dem CVSS mit einem Kusine Score von 6,1 qua „mittel“ eingestuft.

Cacti RRDtool Softwarefehler: Erklärung des Angriffs

Cacti ist ein grafisches Frontend zur Visualisierung von statistischen Information, erfasst durch die Round Robin Database rrdtool.

Ein entfernter, anonymer Angreifer kann mehrere Schwachstellen in Cacti RRDtool ausnutzen, um verknüpfen Cross-Site Scripting Sturm durchzuführen oder Sicherheitsvorkehrungen zu umgehen.

Klassifiziert wurde die Schwachstelle mithilfe des CVE-Bezeichnungssystems (Common Vulnerabilities and Exposures) durch die individuelle Seriennummer CVE-2020-14424.

Von dieser Sicherheitslücke betroffene Systeme im Gesamtschau

Betriebssysteme
Linux, UNIX, Windows

Produkte
Gentoo Linux (cpe:/o:gentoo:linux)
Open Source Cacti <2.18 (cpe:/a:cacti:cacti)
Open Source Cacti 2.18 (cpe:/a:cacti:cacti)

Allgemeine Empfehlungen zum Umgang mit IT-Sicherheitslücken

1. Computer-Nutzer dieser betroffenen Anwendungen sollten ebendiese aufwärts dem aktuellsten Stand halten. Hersteller sind wohnhaft bei Bekanntwerden von Sicherheitslücken dazu angehalten, ebendiese schnellstmöglich durch Erschaffung eines Patches oder eines Workarounds zu beheben. Sollten Sicherheitspatches verfügbar sein, installieren Sie ebendiese zeitnah.
2. Um Rat fragen Sie zu Informationszwecken die im nächsten Schritt aufgeführten Quellen. X-mal enthalten ebendiese weiterführende Informationen zur aktuellsten Version dieser betreffenden Software sowie zur Verfügbarkeit von Sicherheitspatches oder Hinweise zu Workarounds.
3. Wenden Sie sich wohnhaft bei weiteren Fragen oder Unsicherheiten an Ihren zuständigen Administrator. IT-Sicherheitsverantwortliche sollten regelmäßig prüfen, zu welcher Zeit dieser von dieser IT-Sicherheitswarnung betroffene Hersteller ein neues Sicherheitsupdate zur Verfügung stellt.

Hersteller-Informationen zu Updates, Patches und Workarounds

An dieser Stelle finden Sie weiterführende Sinister mit Informationen reichlich Softwarefehler-Reports, Security-Fixes und Workarounds.

Gentoo Linux Security Advisory GLSA-202412-02 vom 2024-12-07 (08.12.2024)
Weitere Informationen finden Sie unter: https://security.gentoo.org/glsa/202412-02

Cacti Github Seite vom 2021-07-05 (05.07.2021)
Weitere Informationen finden Sie unter: https://github.com/Cacti/cacti/releases/tag/release/1.2.18

Versionshistorie dieses Sicherheitshinweises

Dies ist die 2. Version des vorliegenden IT-Sicherheitshinweises pro Cacti RRDtool. Unter Veröffentlichung weiterer Updates wird dieser Text aktualisiert. Die vorgenommenen Änderungen können Sie mit dieser folgenden Versionshistorie wiederholen.

05.07.2021 – Initiale Halterung
08.12.2024 – Neue Updates von Gentoo aufgenommen

+++ Redaktioneller Rauchzeichen: Dieser Text wurde aufwärts Fundament aktueller BSI-Information generiert und wird je nachher Warnlage datengetrieben aktualisiert. Feedback und Anmerkungen nehmen wir unter [email protected] entgegen. +++

Verfolgen Sie News.de schon wohnhaft bei Facebook, Twitter, Pinterest und YouTube? Hier finden Sie brandheiße News, aktuelle Videos und den direkten Leitung zur Redaktion.
kns/roj/news.de