gcc: Kwetsbaarheid maakt het mogelijk om beveiligingsmaatregelen te omzeilen

Algemeen

Een beveiligingswaarschuwing voor gcc heeft een update ontvangen van de BSI. Hoe betrokken gebruikers zich moeten gedragen, kunt u hier vinden.

Op 27 februari 2024 publiceerde het Federale Bureau voor Informatietechnologie (BSI) een update over een beveiligingsprobleem voor gcc dat op 4 september 2019 bekend werd. Het beveiligingsprobleem treft de besturingssystemen UNIX en Linux, evenals de producten Red Hat Enterprise Linux, SUSE Linux en open source gcc.

De nieuwste aanbevelingen van de fabrikant met betrekking tot updates, oplossingen en beveiligingspatches voor dit beveiligingslek vindt u hier: (vanaf 27 februari 2024). Andere nuttige bronnen vindt u verderop in dit artikel.

Veiligheidsmededeling voor gcc – risico: gemiddeld

Risiconiveau: 3 (gemiddeld)
CVSS-basisscore: 7,5
CVSS tijdelijke score: 6,5
Afstandsbediening: Ja

Het Common Vulnerability Scoring System (CVSS) wordt gebruikt om de kwetsbaarheid van computersystemen te beoordelen. De CVSS-standaard maakt het mogelijk om potentiële of daadwerkelijke beveiligingskwetsbaarheden te vergelijken op basis van verschillende meetgegevens, zodat tegenmaatregelen beter kunnen worden geprioriteerd. De attributen “geen”, “laag”, “medium”, “hoog” en “kritiek” worden gebruikt om de ernstniveaus van een kwetsbaarheid te bepalen. De Basisscore evalueert de vereisten voor een aanval (inclusief authenticatie, complexiteit, privileges, gebruikersinteractie) en de gevolgen ervan. De temporele score houdt ook rekening met veranderingen in de tijd in de gevaarsituatie. Volgens de CVSS wordt de hier besproken dreiging van de kwetsbaarheid geclassificeerd als “medium” met een basisscore van 7,5.

gcc-bug: Door de kwetsbaarheid kunnen beveiligingsmaatregelen worden omzeild

De GNU Compiler Collection (GCC) is een compilersuite van het GNU Project.

Een externe, anonieme aanvaller zou een kwetsbaarheid in gcc kunnen misbruiken om beveiligingsmaatregelen te omzeilen.

De kwetsbaarheid wordt geïdentificeerd met het individuele CVE-serienummer (Common Vulnerabilities and Exposures). CVE-2019-15847 verhandeld.

Systemen die getroffen zijn door het gcc-beveiligingsprobleem in één oogopslag

Besturingssystemen
UNIX,Linux

Producten
Red Hat Enterprise Linux (cpe:/o:redhat:enterprise_linux)
SUSE Linux (cpe:/o:suse:suse_linux)
Open Source gcc < 10 (cpe:/a:gnu:gcc)

Algemene maatregelen voor het omgaan met IT-kwetsbaarheden

  1. Gebruikers van de getroffen applicaties moeten deze up-to-date houden. Wanneer gaten in de beveiliging bekend worden, zijn fabrikanten verplicht deze zo snel mogelijk op te lossen door een patch of een tijdelijke oplossing te ontwikkelen. Als er beveiligingspatches beschikbaar zijn, installeer deze dan onmiddellijk.
  2. Raadpleeg voor informatie de bronnen in het volgende gedeelte. Deze bevatten vaak meer informatie over de nieuwste versie van de betreffende software, de beschikbaarheid van beveiligingspatches of tips voor oplossingen.
  3. Als u nog vragen of onduidelijkheden heeft, kunt u contact opnemen met uw verantwoordelijke beheerder. IT-beveiligingsmanagers moeten regelmatig controleren wanneer het productiebedrijf een nieuwe beveiligingsupdate beschikbaar stelt.

Bronnen van updates, patches en oplossingen

Hier vindt u verdere links met informatie over bugrapporten, beveiligingsoplossingen en tijdelijke oplossingen.

SUSE-beveiligingsupdate SUSE-SU-2023:3662-1 vom 27-02-2024 (27.02.2024)
Voor meer informatie, zie:

Red Hat Security Advisory RHSA-2020:3194 vom 2020-07-28 (28.07.2020)
Voor meer informatie, zie:

Red Hat Security Advisory RHSA-2020:2274 vom 2020-05-26 (25.05.2020)
Voor meer informatie, zie:

Red Hat Security Advisory RHSA-2020:1864 vom 2020-04-28 (28.04.2020)
Voor meer informatie, zie:

Red Hat Security Advisory RHSA-2020:0924 vom 2020-03-23 (22.03.2020)
Voor meer informatie, zie:

SUSE-beveiligingsupdate SUSE-SU-2020:0394-1 vom 2020-02-18 (18.02.2020)
Voor meer informatie, zie:

SUSE-beveiligingsupdate SUSE-SU-2019:3061-1 van 26-11-2019 (25.11.2019)
Voor meer informatie, zie:

SUSE-beveiligingsupdate SUSE-SU-2019:2702-1 van 17-10-2019 (16.10.2019)
Voor meer informatie, zie:

NIST National Vulnerability Database vom 2019-09-04 (04.09.2019)
Voor meer informatie, zie:

Versiegeschiedenis van deze beveiligingswaarschuwing

Dit is de 9e versie van deze IT-beveiligingskennisgeving voor gcc. Deze tekst zal worden bijgewerkt zodra verdere updates worden aangekondigd. U kunt de aangebrachte wijzigingen bekijken via de onderstaande versiegeschiedenis.

4 september 2019 – Eerste versie
16 oktober 2019 – Nieuwe updates van SUSE toegevoegd
25 november 2019 – Nieuwe updates van SUSE toegevoegd
18-02-2020 – Nieuwe updates van SUSE toegevoegd
22/03/2020 – Nieuwe updates van Red Hat…

Buitenlands nieuws
Add a comment