libTIFF in gevaar: Kwetsbaarheid maakt Denial of Service mogelijk

Algemeen

Een beveiligingswaarschuwing voor libTIFF heeft een update ontvangen van de BSI. Hoe betrokken gebruikers zich moeten gedragen, kunt u hier vinden.

Op 19 februari 2024 publiceerde het Federale Bureau voor Informatietechnologie (BSI) een update over een beveiligingsprobleem voor libTIFF dat op 18 december 2023 bekend werd. Het beveiligingsprobleem treft de besturingssystemen UNIX, Linux en Windows, evenals de producten Ubuntu Linux en open source libTIFF.

De nieuwste aanbevelingen van de fabrikant met betrekking tot updates, oplossingen en beveiligingspatches voor dit beveiligingslek vindt u hier: (vanaf 19 februari 2024). Andere nuttige links vindt u verderop in dit artikel.

Beveiligingsmededeling voor libTIFF – Risico: gemiddeld

Risiconiveau: 3 (gemiddeld)
CVSS-basisscore: 5,5
CVSS tijdelijke score: 4,8
Aanval op afstand: Nee

Het Common Vulnerability Scoring System (CVSS) wordt gebruikt om de ernst van beveiligingsproblemen in computersystemen te beoordelen. De CVSS-standaard maakt het mogelijk om potentiële of feitelijke beveiligingskwetsbaarheden te vergelijken op basis van verschillende statistieken om zo een prioriteitenlijst op te stellen voor het nemen van tegenmaatregelen. De attributen “geen”, “laag”, “medium”, “hoog” en “kritiek” worden gebruikt om de ernstniveaus van een kwetsbaarheid te bepalen. De Basisscore evalueert de vereisten voor een aanval (inclusief authenticatie, complexiteit, privileges, gebruikersinteractie) en de gevolgen ervan. Met de temporele score wordt bij de evaluatie rekening gehouden met randvoorwaarden die in de loop van de tijd kunnen veranderen. Volgens de CVSS wordt de hier besproken dreiging van de kwetsbaarheid geclassificeerd als “medium” met een basisscore van 5,5.

libTIFF-bug: Kwetsbaarheid maakt Denial of Service mogelijk

libTIFF is een softwarepakket voor het verwerken van afbeeldingsbestanden in Tag Image File Format (TIFF).

Een externe, anonieme aanvaller zou een kwetsbaarheid in libTIFF kunnen misbruiken om een ​​denial-of-service-aanval uit te voeren.

De kwetsbaarheid is geclassificeerd met behulp van het CVE-referentiesysteem (Common Vulnerabilities and Exposures) op basis van het individuele serienummer CVE-2023-6228.

Systemen die getroffen zijn door de libTIFF-kwetsbaarheid in één oogopslag

Besturingssystemen
UNIX, Linux, Windows

Producten
Ubuntu Linux (cpe:/o:canonical:ubuntu_linux)
Open source libTIFF (cpe:/a:libtiff:libtiff)

Algemene maatregelen voor het aanpakken van lacunes in de IT-beveiliging

  1. Gebruikers van de getroffen applicaties moeten deze up-to-date houden. Wanneer gaten in de beveiliging bekend worden, zijn fabrikanten verplicht deze zo snel mogelijk op te lossen door een patch of een tijdelijke oplossing te ontwikkelen. Als er nieuwe beveiligingsupdates beschikbaar zijn, installeer deze dan onmiddellijk.
  2. Raadpleeg voor informatie de bronnen in het volgende gedeelte. Deze bevatten vaak meer informatie over de nieuwste versie van de betreffende software, de beschikbaarheid van beveiligingspatches of tips voor oplossingen.
  3. Als u nog vragen of onduidelijkheden heeft, kunt u contact opnemen met uw verantwoordelijke beheerder. IT-beveiligingsmanagers moeten regelmatig controleren wanneer de betreffende fabrikant een nieuwe beveiligingsupdate zal uitbrengen.

Bronnen van updates, patches en oplossingen

Hier vindt u verdere links met informatie over bugrapporten, beveiligingsoplossingen en tijdelijke oplossingen.

Ubuntu-beveiligingskennisgeving USN-6644-1 vom 2024-02-19 (19.02.2024)
Voor meer informatie, zie:

PoC op gitlab (18.12.2023)
Voor meer informatie, zie:

RedHat Bugzilla van 18-12-2023 (18.12.2023)
Voor meer informatie, zie:

NIST Vulnerability Database vom 2023-12-18 (18.12.2023)
Voor meer informatie, zie:

Versiegeschiedenis van deze beveiligingswaarschuwing

Dit is de tweede versie van deze IT-beveiligingskennisgeving voor libTIFF. Als er verdere updates worden aangekondigd, wordt deze tekst bijgewerkt. In deze versiegeschiedenis leest u over wijzigingen of aanvullingen.

18 december 2023 – Eerste versie
19-02-2024 – Nieuwe updates van Ubuntu toegevoegd

+++ Noot voor de redactie: Deze tekst is gegenereerd op basis van actuele BSI-gegevens en zal afhankelijk van de waarschuwingssituatie datagestuurd worden bijgewerkt. Wij accepteren feedback en commentaar op notice@news.de. +++

Volg jij , , en al? Hier vindt u actueel nieuws, actuele video’s en een directe lijn naar de redactie.

Bewerkt door

roj/nieuws.de

Buitenlands nieuws
Add a comment