HAProxy: Schwachstelle ermöglicht Denial of Service

Der für HAProxy herausgegebene Sicherheitshinweis hat ein Update vom BSI erhalten. Welche Betriebssysteme und Produkte von der Sicherheitslücke betroffen sind, können Sie hier auf news.de nachlesen.

Das Bundesamt Sicherheit in der Informationstechnik (BSI) hat am 16. Januar 2023 einen Sicherheitshinweis für HAProxy gemeldet. Betroffen von der Schwachstelle sind UNIX- und Linux-Betriebssysteme sowie Ubuntu Linux und HAProxy Enterprise-Produkte. Diese Warnung wurde zuletzt am 24.01.2023 aktualisiert.

Die neuesten Herstellerempfehlungen für Updates, Problemumgehungen und Sicherheitspatches für die Schwachstelle finden Sie hier: Ubuntu-Sicherheitsbulletin USN-5819-1 (Stand: 23.01.2023). Weitere nützliche Ressourcen werden später in diesem Artikel aufgeführt.

Sicherheitshinweis für HAProxy – Risiko: Mittel

Risikostufe: 3 (mittel)
CVSS-Basiswert: 7,5
CVSS-Zeitpunktzahl: 6,5
Fernkampf: Ja

Das Common Vulnerability Scoring System (CVSS) dient der Bewertung der Verwundbarkeit von Computersystemen. Der CVSS-Standard ermöglicht es Ihnen, potenzielle oder tatsächliche Sicherheitslücken anhand verschiedener Metriken zu vergleichen, um eine Prioritätenliste für die Einleitung von Gegenmaßnahmen zu erstellen. Die Attribute „keine“, „niedrig“, „mittel“, „hoch“ und „kritisch“ geben die Schwere der Schwachstelle an. Der Basiswert bewertet die Voraussetzungen eines Angriffs (u. a. Authentifizierung, Komplexität, Berechtigungen, Benutzerinteraktion) und seine Folgen. Mit dem zeitlichen Score werden zeitlich veränderliche Rahmenbedingungen in die Bewertung einbezogen. Der Schweregrad der aktuellen Schwachstelle ist laut CVSS „moderat“ mit einem Basiswert von 7,5.

Auch Lesen :  Weltraummüll: Trümmer im All gefährden Wissenschaft

HAProxy-Fehler: Schwachstelle könnte einen Denial-of-Service ermöglichen

HAProxy Enterprise ist ein weit verbreiteter Open-Source-Software-Load-Balancer und Application Delivery Controller.

Ein entfernter, anonymer Angreifer könnte eine Schwachstelle in HAProxy ausnutzen, um einen Denial-of-Service-Angriff zu starten.

Die Schwachstelle wurde anhand der eindeutigen Seriennummer unter Verwendung des Referenzsystems CVE (Common Vulnerabilities and Exposures) klassifiziert. CVE-2023-0056.

Von der HAProxy-Schwachstelle betroffene Systeme auf einen Blick

Betriebssystem
UNIX, Linux

Auch Lesen :  Wissenschaft: Studie zur Herkunft von Omikron zurückgezogen

Produkte
Ubuntu Linux (cpe://o:canonical:ubuntu_linux)
HAProxy Enterprise 2.0 (cpe:/a:haproxy:haproxy)
HAProxy Enterprise 2.2 (cpe:/a:haproxy:haproxy)
HAProxy Enterprise 2.4 (cpe:/a:haproxy:haproxy)
HAProxy Enterprise 2.5 (cpe:/a:haproxy:haproxy)
HAProxy Enterprise 2.6 (cpe:/a:haproxy:haproxy)
HAProxy Enterprise 2.7 (cpe:/a:haproxy:haproxy)

Allgemeine Empfehlungen zum Umgang mit IT-Sicherheitslücken

  1. Benutzer betroffener Systeme müssen diese auf dem aktuellen Stand halten. Wenn Sicherheitslücken bekannt werden, müssen Hersteller diese so schnell wie möglich beheben, indem sie einen Patch oder einen Workaround entwickeln. Wenn neue Sicherheitsupdates verfügbar sind, installieren Sie diese sofort.

  2. Weitere Informationen finden Sie in den im nächsten Abschnitt aufgeführten Ressourcen. Diese enthalten häufig zusätzliche Informationen über die neueste Version der betreffenden Software sowie die Verfügbarkeit von Sicherheitspatches oder Hinweise auf Problemumgehungen.

  3. Bei weiteren Fragen oder Unsicherheiten wenden Sie sich an den zuständigen Systemadministrator. IT-Sicherheitsverantwortliche sollten regelmäßig prüfen, wann der Hersteller ein neues Sicherheitsupdate zur Verfügung stellt.

Auch Lesen :  Rätselhafter Jung-Planet entdeckt - wissenschaft.de

Herstellerinformationen zu Updates, Fixes und Problemumgehungen

Hier finden Sie zusätzliche Links zu Fehlerberichten, Sicherheitskorrekturen und Problemumgehungen.

Ubuntu-Sicherheitsbulletin USN-5819-1, 2023-01-23 (24.01.2023)
Weitere Informationen finden Sie unter: https://ubuntu.com/security/notices/USN-5819-1

RedHat Bugzilla ab 15.01.2023 (16.01.2023)
Weitere Informationen finden Sie unter: https://bugzilla.redhat.com/show_bug.cgi?id=2160808

Versionsverlauf dieser Sicherheitswarnung

Dies ist Version 2 des HAProxy-IT-Sicherheitshinweises. Dieser Text wird aktualisiert, sobald weitere Aktualisierungen angekündigt werden. Änderungen und Ergänzungen können Sie in dieser Versionshistorie nachlesen.

16.01.2023 – Originalfassung
24.01.2023 – Neue Ubuntu-Updates hinzugefügt

+++ Anmerkung der Redaktion: Dieser Text wurde mit Hilfe künstlicher Intelligenz auf Basis aktueller BSI-Daten erstellt. Feedback und Kommentare sind willkommen unter [email protected] +++

Folgen Nachrichten.de schon bei Facebook, Twitter, Pinterest und Youtube? Hier finden Sie aktuelle News, aktuelle Videos und den direkten Draht zur Redaktion.

roj/news.de



Source

Leave a Reply

Your email address will not be published.

In Verbindung stehende Artikel

Back to top button