Dies Bundesamt für jedes Sicherheit in dieser Informationstechnik (BSI) hat am 26.05.2023 ein Update zu einer am 01.02.2023 bekanntgewordenen Sicherheitslücke mit mehreren Schwachstellen für jedes Apache Portable Runtime (APR) veröffentlicht. Betroffen von dieser Sicherheitslücke sind die Betriebssysteme UNIX, Linux und Windows sowie die Produkte Apache Portable Runtime (APR), Debian Linux, Amazon Linux 2, Red Hat Enterprise Linux, IBM WebSphere Application Server, Ubuntu Linux, IBM Hypertext Transfer Protocol Server, SUSE Linux, Oracle Linux, IBM Security Access Manager for Enterprise Single Sign-On, IBM Business Automatisierung Workflow, IBM Rational ClearCase, IBM Tivoli Monitoring und Trellix ePolicy Orchestrator.

Die neuesten Hersteller-Empfehlungen hinsichtlich Updates, Workarounds und Sicherheitspatches für jedes ebendiese Sicherheitslücke finden Sie hier: Oracle Linux Security Advisory ELSA-2023-3109 (Stand: 26.05.2023). Weitere nützliche Sinister werden weiter unten in diesem Geschlechtswort aufgeführt.

Mehrere Schwachstellen für jedes Apache Portable Runtime (APR) – Risiko: hoch

Risikostufe: 4 (hoch)
CVSS Kusine Score: 7,8
CVSS Zeitlich Score: 7,1
Remoteangriff: Nein

Zur Priorisierung dieser Verwundbarkeit von Computersystemen wird dies Common Vulnerability Scoring System (CVSS) angewandt. Welcher CVSS-Standard ermöglicht es, potenzielle oder tatsächliche Sicherheitslücken aufwärts Lager verschiedener Kriterien miteinander zu vergleichen, um eine darauf aufbauende Prioritätenliste zur Präambel von Gegenmaßnahmen zu erstellen. Zu Gunsten von die Schweregrade einer Schwachstelle werden die Attribute „keine“, „tief“, „mittel“, „hoch“ und „ungelegen“ verwendet. Welcher Kusine Score bewertet die Voraussetzungen für jedes zusammensetzen Sturm (u.a. Authentifizierung, Schwierigkeit, Privilegien, Userinteraktion) sowie dessen Konsequenzen. Beim Zeitlich Score fließen oben die Zeit veränderbare Rahmenbedingungen in die Priorisierung ein. Die Gefährdung dieser aktuellen Schwachstelle wird nachdem dem CVSS mit einem Kusine Score von 7,8 denn „hoch“ eingeschätzt.

Apache Portable Runtime (APR) Softwarefehler: Schwachstellen und CVE-Nummern

Apache Portable Runtime (APR) ist eine unterstützende Bibliothek für jedes den Apache Web Server.

Ein lokaler Angreifer kann mehrere Schwachstellen in Apache Portable Runtime (APR) ausnutzen, um beliebigen Programmcode auszuführen oder zusammensetzen Denial of Tafelgeschirr Zustand herbeizuführen.

Die Verwundbarkeit wird mit den eindeutigen CVE-Identifikationsnummern (Common Vulnerabilities and Exposures) CVE-2022-24963, CVE-2022-25147 und CVE-2022-28331 gehandelt.

Von dieser Sicherheitslücke betroffene Systeme im Gesamtschau

Betriebssysteme
UNIX, Linux, Windows

Produkte
Apache Portable Runtime (APR) <= 1.6.1 (cpe:/a:apache:apr-util)
Debian Linux (cpe:/o:debian:debian_linux)
Amazon Linux 2 (cpe:/o:amazon:linux_2)
Red Hat Enterprise Linux (cpe:/o:redhat:enterprise_linux)
IBM WebSphere Application Server 8.5 (cpe:/a:ibm:websphere_application_server)
Ubuntu Linux (cpe:/o:canonical:ubuntu_linux)
IBM Hypertext Transfer Protocol Server 8.5 (cpe:/a:ibm:http_server)
SUSE Linux (cpe:/o:suse:suse_linux)
Oracle Linux (cpe:/o:oracle:linux)
IBM Security Access Manager for Enterprise Single Sign-On 8.2.1 (cpe:/a:ibm:security_access_manager_for_enterprise_single_sign_on)
IBM Security Access Manager for Enterprise Single Sign-On 8.2.2 (cpe:/a:ibm:security_access_manager_for_enterprise_single_sign_on)
IBM Hypertext Transfer Protocol Server 9.0 (cpe:/a:ibm:http_server)
IBM Business Automatisierung Workflow (cpe:/a:ibm:business_automation_workflow)
IBM Rational ClearCase 9.0.2 (cpe:/a:ibm:rational_clearcase)
IBM Rational ClearCase 9.1 (cpe:/a:ibm:rational_clearcase)
IBM Tivoli Monitoring < 6.3.0.7 sp5 (cpe:/a:ibm:tivoli_monitoring)
Apache Portable Runtime (APR) <= 1.7.0 (cpe:/a:apache:apr-util)
IBM Rational ClearCase 10.0.0 (cpe:/a:ibm:rational_clearcase)
Trellix ePolicy Orchestrator < 5.10 Tafelgeschirr Pack 1 (cpe:/a:trellix:epolicy_orchestrator)

Allgemeine Empfehlungen zum Umgang mit IT-Sicherheitslücken

1. User dieser betroffenen Systeme sollten ebendiese aufwärts dem aktuellsten Stand halten. Hersteller sind zwischen Bekanntwerden von Sicherheitslücken dazu angehalten, ebendiese schnellstmöglich durch Fortgang eines Patches oder eines Workarounds zu beheben. Sollten neue Sicherheitsupdates verfügbar sein, installieren Sie ebendiese zeitnah.
2. Um Rat fragen Sie zu Informationszwecken die im nächsten Stufe aufgeführten Quellen. Vielerorts enthalten ebendiese weiterführende Informationen zur aktuellsten Version dieser betreffenden Software sowie zur Verfügbarkeit von Sicherheitspatches oder Hinweise zu Workarounds.
3. Wenden Sie sich zwischen weiteren Fragen oder Unsicherheiten an Ihren zuständigen Administrator. IT-Sicherheitsverantwortliche sollten regelmäßig prüfen, zu welcher Zeit dieser von dieser IT-Sicherheitswarnung betroffene Hersteller ein neues Sicherheitsupdate zur Verfügung stellt.

Hersteller-Informationen zu Updates, Patches und Workarounds

An dieser Stelle Ergehen sich weiterführende Sinister mit Informationen oben Softwarefehler-Reports, Security-Fixes und Workarounds.

Oracle Linux Security Advisory ELSA-2023-3109 vom 2023-05-26 (26.05.2023)
Weitere Informationen finden Sie unter: http://linux.oracle.com/errata/ELSA-2023-3109.html

Oracle Linux Security Advisory ELSA-2023-3145 vom 2023-05-20 (22.05.2023)
Weitere Informationen finden Sie unter: https://oss.oracle.com/pipermail/el-errata/2023-May/014014.html

Oracle Linux Security Advisory ELSA-2023-3145 vom 2023-05-20 (22.05.2023)
Weitere Informationen finden Sie unter: https://oss.oracle.com/pipermail/el-errata/2023-May/014013.html

Red Hat Security Advisory RHSA-2023:3177 vom 2023-05-17 (19.05.2023)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2023:3177

Red Hat Security Advisory RHSA-2023:3178 vom 2023-05-17 (19.05.2023)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2023:3178

Oracle Linux Security Advisory ELSA-2023-3147 vom 2023-05-18 (19.05.2023)
Weitere Informationen finden Sie unter: https://oss.oracle.com/pipermail/el-errata/2023-May/013985.html

Red Hat Security Advisory RHSA-2023:3145 vom 2023-05-17 (17.05.2023)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2023:3145

Red Hat Security Advisory RHSA-2023:3109 vom 2023-05-16 (17.05.2023)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2023:3109

Red Hat Security Advisory RHSA-2023:3147 vom 2023-05-17 (17.05.2023)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2023:3147

Red Hat Security Advisory RHSA-2023:3146 vom 2023-05-17 (17.05.2023)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2023:3146

McAfee Security Bulletin SB10399 vom 2023-04-07 (11.04.2023)
Weitere Informationen finden Sie unter: https://kcm.trellix.com/corporate/index?page=content&id=SB10399&viewlocale=en_US&platinum_status=false&locale=en_US

IBM Security Bulletin 6967237 vom 2023-03-30 (31.03.2023)
Weitere Informationen finden Sie unter: https://www.ibm.com/support/pages/node/6967237

IBM Security Bulletin 6962383 vom 2023-03-09 (09.03.2023)
Weitere Informationen finden Sie unter: https://www.ibm.com/support/pages/node/6962383

Debian Security Advisory DSA-5370 vom 2023-03-07 (08.03.2023)
Weitere Informationen finden Sie unter: https://lists.debian.org/debian-security-announce/2023/msg00059.html

IBM Security Bulletin 6959883 vom 2023-03-03 (03.03.2023)
Weitere Informationen finden Sie unter: https://www.ibm.com/support/pages/node/6959883

IBM Security Bulletin 6955257 vom 2023-02-28 (28.02.2023)
Weitere Informationen finden Sie unter: https://www.ibm.com/support/pages/node/6955577

Ubuntu Security Notice USN-5885-1 vom 2023-02-27 (27.02.2023)
Weitere Informationen finden Sie unter: https://ubuntu.com/security/notices/USN-5885-1

Debian Security Advisory DSA-5364 vom 2023-02-27 (27.02.2023)
Weitere Informationen finden Sie unter: https://www.debian.org/security/2023/dsa-5364

IBM Security Bulletin 6958064 vom 2023-02-24 (24.02.2023)
Weitere Informationen finden Sie unter: https://www.ibm.com/support/pages/node/6958064

Debian Security Advisory DLA-3332 vom 2023-02-21 (22.02.2023)
Weitere Informationen finden Sie unter: https://lists.debian.org/debian-lts-announce/2023/02/msg00024.html

Amazon Linux Security Advisory ALAS2-2023-1937 vom 2023-02-15 (15.02.2023)
Weitere Informationen finden Sie unter: https://alas.aws.amazon.com/AL2/ALAS-2023-1937.html

Amazon Linux Security Advisory ALAS-2023-1684 vom 2023-02-15 (15.02.2023)
Weitere Informationen finden Sie unter: https://alas.aws.amazon.com/ALAS-2023-1684.html

Ubuntu Security Notice USN-5870-1 vom 2023-02-14 (15.02.2023)
Weitere Informationen finden Sie unter: https://ubuntu.com/security/notices/USN-5870-1

IBM Security Bulletin 6955577 vom 2023-02-14 (15.02.2023)
Weitere Informationen finden Sie unter: https://www.ibm.com/support/pages/node/6955577

Amazon Linux Security Advisory ALAS2-2023-1936 vom 2023-02-15 (15.02.2023)
Weitere Informationen finden Sie unter: https://alas.aws.amazon.com/AL2/ALAS-2023-1936.html

SUSE Security Update SUSE-SU-2023:0389-1 vom 2023-02-13 (14.02.2023)
Weitere Informationen finden Sie unter: https://lists.suse.com/pipermail/sle-security-updates/2023-February/013744.html

SUSE Security Update SUSE-SU-2023:0324-1 vom 2023-02-09 (10.02.2023)
Weitere Informationen finden Sie unter: https://lists.suse.com/pipermail/sle-security-updates/2023-February/013711.html

SUSE Security Update SUSE-SU-2023:0338-1 vom 2023-02-09 (10.02.2023)
Weitere Informationen finden Sie unter: https://lists.suse.com/pipermail/sle-security-updates/2023-February/013715.html

SUSE Security Update SUSE-SU-2023:0337-1 vom 2023-02-10 (10.02.2023)
Weitere Informationen finden Sie unter: https://lists.suse.com/pipermail/sle-security-updates/2023-February/013717.html

Item in dieser OSS-Verteiler vom 2023-01-31 (01.02.2023)
Weitere Informationen finden Sie unter: https://seclists.org/oss-sec/2023/q1/63

Item in dieser OSS-Verteiler vom 2023-01-31 (01.02.2023)
Weitere Informationen finden Sie unter: https://seclists.org/oss-sec/2023/q1/65

Item in dieser OSS-Verteiler vom 2023-01-31 (01.02.2023)
Weitere Informationen finden Sie unter: https://seclists.org/oss-sec/2023/q1/64

Github Security Advisory GHSA-37mv-q3x5-3mwg vom 2023-01-31 (01.02.2023)
Weitere Informationen finden Sie unter: https://github.com/advisories/GHSA-37mv-q3x5-3mwg

Github Security Advisory GHSA-27j5-c395-8j82 vom 2023-01-31 (01.02.2023)
Weitere Informationen finden Sie unter: https://github.com/advisories/GHSA-27j5-c395-8j82

Versionshistorie dieser Sicherheitswarnung

Dies ist die 17. Version des vorliegenden IT-Sicherheitshinweises für jedes Apache Portable Runtime (APR). Sollten weitere Updates bekanntgegeben werden, wird dieser Text aktualisiert. Die vorgenommenen Änderungen können Sie mithilfe dieser folgenden Versionshistorie reproduzieren.

01.02.2023 – Initiale Halterung
10.02.2023 – Neue Updates von SUSE aufgenommen
14.02.2023 – Neue Updates von SUSE aufgenommen
15.02.2023 – Neue Updates von Amazon, IBM und Ubuntu aufgenommen
22.02.2023 – Neue Updates von Debian aufgenommen
24.02.2023 – Neue Updates von IBM aufgenommen
27.02.2023 – Neue Updates von Ubuntu und Debian aufgenommen
28.02.2023 – Neue Updates von IBM aufgenommen
03.03.2023 – Neue Updates von IBM aufgenommen
08.03.2023 – Neue Updates von Debian aufgenommen
09.03.2023 – Neue Updates von IBM aufgenommen
31.03.2023 – Neue Updates von IBM aufgenommen
11.04.2023 – Neue Updates von McAfee aufgenommen
17.05.2023 – Neue Updates von Red Hat aufgenommen
19.05.2023 – Neue Updates von Red Hat und Oracle Linux aufgenommen
22.05.2023 – Neue Updates von Oracle Linux aufgenommen
26.05.2023 – Neue Updates von Oracle Linux aufgenommen

+++ Redaktioneller Zeiger: Dieser Text wurde aufwärts Lager aktueller BSI-Datenmaterial KI-gestützt erstellt. Feedback und Anmerkungen nehmen wir unter [email protected] entgegen. +++

Verfolgen Sie News.de schon zwischen Facebook, Twitter, Pinterest und YouTube? Hier finden Sie brandheiße News, aktuelle Videos und den direkten Kabel zur Redaktion.
roj/news.de