Für Red Hat OpenShift wurde ein Update zur IT-Sicherheitswarnung einer bekannten Schwachstelle veröffentlicht. Was betroffene User beachten sollten, erfahren Sie hier.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat am 23.05.2023 ein Update zu einer am 25.03.2021 bekanntgewordenen Sicherheitslücke mit mehreren Schwachstellen für Red Hat OpenShift veröffentlicht. Betroffen von der Sicherheitslücke sind die Betriebssysteme UNIX und Juniper Appliance sowie die Produkte Debian Linux, Red Hat OpenShift, Red Hat Enterprise Linux, SUSE Linux und Hitachi Ops Center.
Die neuesten Hersteller-Empfehlungen bezüglich Updates, Workarounds und Sicherheitspatches für diese Sicherheitslücke finden Sie hier: Hitachi Software Vulnerability Information hitachi-sec-2023-116 (Stand: 23.05.2023). Weitere nützliche Quellen werden weiter unten in diesem Artikel aufgeführt.
Mehrere Schwachstellen für Red Hat OpenShift – Risiko: mittel
Risikostufe: 3 (mittel)
CVSS Base Score: 7,4
CVSS Temporal Score: 6,4
Remoteangriff: Ja
Zur Bewertung des Schweregrads von Schwachstellen in Computersystemen wird das Common Vulnerability Scoring System (CVSS) angewandt. Der CVSS-Standard ermöglicht es, potenzielle oder tatsächliche Sicherheitslücken auf Basis verschiedener Kriterien miteinander zu vergleichen, um eine darauf aufbauende Prioritätenliste zur Einleitung von Gegenmaßnahmen zu erstellen. Für die Schweregrade einer Schwachstelle werden die Attribute „keine“, „niedrig“, „mittel“, „hoch“ und „kritisch“ verwendet. Der Base Score bewertet die Voraussetzungen für einen Angriff (u.a. Authentifizierung, Komplexität, Privilegien, Userinteraktion) sowie dessen Konsequenzen. Beim Temporal Score fließen über die Zeit veränderbare Rahmenbedingungen in die Bewertung ein. Die Gefährdung der aktuellen Schwachstelle wird nach dem CVSS mit einem Base Score von 7,4 als „mittel“ eingeschätzt.
Red Hat OpenShift Bug: Auswirkungen bei Ausnutzung der bekannten Schwachstellen
Red Hat OpenShift ist eine „Platform as a Service“ (PaaS) Lösung zur Bereitstellung von Applikationen in der Cloud.
Ein entfernter, anonymer oder lokaler Angreifer kann mehrere Schwachstellen in Red Hat OpenShift ausnutzen, um Sicherheitsvorkehrungen zu umgehen oder Informationen offenzulegen.
Klassifiziert wurden die Schwachstellen mithilfe des CVE-Bezeichnungssystems (Common Vulnerabilities and Exposures) durch die individuellen Seriennummern CVE-2021-20218, CVE-2021-21290 und CVE-2021-21295.
Von der Sicherheitslücke betroffene Systeme im Überblick
Betriebssysteme
UNIX, Juniper Appliance
Produkte
Debian Linux (cpe:/o:debian:debian_linux)
Red Hat OpenShift 3.11 (cpe:/a:redhat:openshift)
Red Hat Enterprise Linux (cpe:/o:redhat:enterprise_linux)
SUSE Linux (cpe:/o:suse:suse_linux)
Hitachi Ops Center (cpe:/a:hitachi:ops_center)
Red Hat OpenShift 4.6 (cpe:/a:redhat:openshift)
Red Hat OpenShift 4.7 (cpe:/a:redhat:openshift)
Allgemeine Maßnahmen zum Umgang mit IT-Sicherheitslücken
- Anwender der betroffenen Systeme sollten diese auf dem aktuellsten Stand halten. Hersteller sind bei Bekanntwerden von Sicherheitslücken dazu angehalten, diese schnellstmöglich durch Entwicklung eines Patches oder eines Workarounds zu beheben. Sollten Sicherheitspatches verfügbar sein, installieren Sie diese zeitnah.
- Konsultieren Sie zu Informationszwecken die im nächsten Abschnitt aufgeführten Quellen. Häufig enthalten diese weiterführende Informationen zur aktuellsten Version der betreffenden Software sowie zur Verfügbarkeit von Sicherheitspatches oder Hinweise zu Workarounds.
- Wenden Sie sich bei weiteren Fragen oder Unsicherheiten an Ihren zuständigen Administrator. IT-Sicherheitsverantwortliche sollten regelmäßig prüfen, wann das herstellende Unternehmen ein neues Sicherheitsupdate zur Verfügung stellt.
Quellen zu Updates, Patches und Workarounds
An dieser Stelle befinden sich weiterführende Links mit Informationen über Bug-Reports, Security-Fixes und Workarounds.
Hitachi Software Vulnerability Information hitachi-sec-2023-116 vom 2023-05-23 (23.05.2023)
Weitere Informationen finden Sie unter: https://www.hitachi.com/products/it/software/security/info/vuls/hitachi-sec-2023-116/index.html
Red Hat Security Advisory RHSA-2022:5498 vom 2022-07-05 (06.07.2022)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2022:5498
SUSE Security Update SUSE-SU-2022:1271-1 vom 2022-04-20 (21.04.2022)
Weitere Informationen finden Sie unter: https://lists.suse.com/pipermail/sle-security-updates/2022-April/010773.html
Red Hat Security Advisory RHSA-2022:1108 vom 2022-03-29 (30.03.2022)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2022:1108
Red Hat Security Advisory RHSA-2022:1110 vom 2022-03-29 (30.03.2022)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2022:1110
Red Hat Security Advisory RHSA-2022:0297 vom 2022-01-26 (27.01.2022)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2022:0297
Red Hat Security Advisory RHSA-2022:0296 vom 2022-01-26 (27.01.2022)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2022:0296
Red Hat Security Advisory RHSA-2022:0190 vom 2022-01-19 (20.01.2022)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2022:0190
Red Hat Security Advisory RHSA-2021:3880 vom 2021-10-20 (21.10.2021)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2021:3880
Red Hat Security Advisory RHSA-2021:3700 vom 2021-09-30 (30.09.2021)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2021:3700
Red Hat Security Advisory RHSA-2021:3225 vom 2021-08-20 (20.08.2021)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2021:3225
Red Hat Security Advisory RHSA-2021:3205 vom 2021-08-18 (18.08.2021)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2021:3205
Red Hat Security Advisory RHSA-2021:2755 vom 2021-07-15 (16.07.2021)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2021:2755
Red Hat Security Advisory RHSA-2021:2689 vom 2021-07-12 (13.07.2021)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2021:2689
Red Hat Security Advisory RHSA-2021:2210 vom 2021-06-02 (04.06.2021)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2021:2210
Red Hat Security Advisory RHSA-2021:2139 vom 2021-05-26 (27.05.2021)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2021:2139
Red Hat Security Advisory RHSA-2021:2070 vom 2021-05-20 (21.05.2021)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2021:2070
Red Hat Security Advisory RHSA-2021:2046 vom 2021-05-19 (20.05.2021)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2021:2046
Red Hat Security Advisory RHSA-2021:2048 vom 2021-05-19 (20.05.2021)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2021:2048
Red Hat Security Advisory RHSA-2021:2051 vom 2021-05-19 (20.05.2021)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2021:2051
Red Hat Security Advisory RHSA-2021:2047 vom 2021-05-19 (20.05.2021)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2021:2047
Red Hat Security Advisory RHSA-2021:1511 vom 2021-05-06 (06.05.2021)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2021:1511
Debian Security Advisory DSA-4885 vom 2021-04-06 (06.04.2021)
Weitere Informationen finden Sie unter: https://www.debian.org/security/2021/dsa-4885
Red Hat Security Advisory RHSA-2021:0943 vom 2021-03-31 (31.03.2021)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2021:0943
Red Hat Security Advisory RHSA-2021:1004 vom 2021-03-29 (29.03.2021)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2021:1004
Red Hat Security Advisories -RHSA-2021:0986 vom 2021-03-24 (25.03.2021)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2021:0986
Versionshistorie dieser Sicherheitswarnung
Dies ist die 21. Version des vorliegenden IT-Sicherheitshinweises für Red Hat OpenShift. Bei Bekanntgabe weiterer Updates wird dieser Text aktualisiert. Die vorgenommenen Änderungen können Sie anhand der folgenden Versionshistorie nachvollziehen.
25.03.2021 – Initiale Fassung
29.03.2021 – Neue Updates von Red Hat aufgenommen
31.03.2021 – Neue Updates von Red Hat aufgenommen
06.04.2021 – Neue Updates von Debian aufgenommen
06.05.2021 – Neue Updates von Red Hat aufgenommen
20.05.2021 – Neue Updates von Red Hat aufgenommen
21.05.2021 – Neue Updates von Red Hat aufgenommen
27.05.2021 – Neue Updates von Red Hat aufgenommen
04.06.2021 – Neue Updates von Red Hat aufgenommen
13.07.2021 – Neue Updates von Red Hat aufgenommen
16.07.2021 – Neue Updates von Red Hat aufgenommen
18.08.2021 – Neue Updates von Red Hat aufgenommen
20.08.2021 – Neue Updates von Red Hat aufgenommen
30.09.2021 – Neue Updates von Red Hat aufgenommen
21.10.2021 – Neue Updates von Red Hat aufgenommen
20.01.2022 – Neue Updates von Red Hat aufgenommen
27.01.2022 – Neue Updates von Red Hat aufgenommen
30.03.2022 – Neue Updates von Red Hat aufgenommen
21.04.2022 – Neue Updates von SUSE aufgenommen
06.07.2022 – Neue Updates von Red Hat aufgenommen
23.05.2023 – Neue Updates von HITACHI aufgenommen
+++ Redaktioneller Hinweis: Dieser Text wurde auf Basis aktueller BSI-Daten KI-gestützt erstellt. Feedback und Anmerkungen nehmen wir unter hinweis@news.de entgegen. +++
Folgen Sie News.de schon bei Facebook, Twitter, Pinterest und YouTube? Hier finden Sie brandheiße News, aktuelle Videos und den direkten Draht zur Redaktion.
roj/news.de
