Skip to content

QT: Replace für IT-Sicherheitswarnung (Risiko: hoch)

Wie das BSI meldet, hat die IT-Sicherheitswarnung, welche eine vorliegende Schwachstelle für QT betrifft, ein Replace erhalten. Was betroffene Consumer beachten sollten, erfahren Sie hier.

Das Bundesamt für sicherheit in der Informationstechnik (BSI) hat am 23.11.2022 ein Replace zu einer am 17.02.2022 bekanntgewordenen Sicherheitslücke für QT veröffentlicht. Betroffen von der Sicherheitslücke sind die Betriebssysteme UNIX und Linux sowie die Produkte Purple Hat Enterprise Linux, SUSE Linux, Oracle Linux und Open Supply QT.

Die neuesten Hersteller-Empfehlungen bezüglich Updates, Workarounds und Sicherheitspatches für diese Sicherheitslücke finden Sie hier: Oracle Linux Safety Advisory ELSA-2022-8022 (Stand: 22.11.2022). Weitere nützliche Quellen werden weiter unten in diesem Artikel aufgeführt.

Sicherheitshinweis für QT – Risiko: hoch

Risikostufe: 3 (hoch)
CVSS Base Rating: 8.3
CVSS Temporal Rating: 7.2
Remoteangriff: Ha

Zur Bewertung der Verwundbarkeit von Computersystemen wird das Widespread Vulnerability Scoring System (CVSS) angewandt. Der CVSS-Customary ermöglicht es, potenzielle oder tatsächliche Sicherheitslücken auf Foundation verschiedener Kriterien miteinander zu vergleichen, um eine darauf aufbauende Prioritätenliste zur Einleitung von Gegenmaßnahmen zu erstellen. For die Schweregrade einer Schwachstelle werden die Attribute “keine”, “niedrig”, “mittel”, “hoch” und “kritisch” verwendet. Der Base Rating bewertet die Voraussetzungen für einen Angriff (ua Authentifizierung, Komplexität, Privilegien, Userinteraktion) sowie dessen Konsequenzen. Der Temporal Rating berücksichtigt darüber hinaus zeitliche Veränderungen hinsichtlich der Gefahrenlage. Die Gefährdung der hier behandelten Schwachstelle wird nach dem CVSS mit einem Base Rating von 8.3 als “hoch” eingestuft.

QT Bug: Schwachstelle ermöglicht Umgehen von Sicherheitsvorkehrungen

Qt ist eine C++ Klassenbibliothek für die plattformübergreifende Programmierung grafischer Benutzeroberflächen.

Ein Angreifer kann eine Schwachstelle in QT ausnutzen, um Sicherheitsvorkehrungen zu umgehen.

Die Verwundbarkeit wird mit der eindeutigen CVE-Identifikationsnummer (Widespread Vulnerabilities and Exposures) CVE-2022-25255 gehandelt.

Von der QT-Sicherheitslücke betroffene Systeme im Überblick

Betriebssysteme
Unix, Linux

merchandise
Purple Hat Enterprise Linux (cpe://o:redhat:enterprise_linux)
SUSE Linux (cpe://o:suse:suse_linux)
Oracle Linux (cpe://o:oracle:linux)
Open Supply QT < 5.15.9 (cpe:/a:qt:qt)
Open Supply QT < 6.2.4 (cpe:/a:qt:qt)

Allgemeine Empfehlungen zum Umgang mit IT-Sicherheitslücken

  1. Anwender der betroffenen Anwendungen sollten diese auf dem aktuellsten Stand halten. Hersteller sind bei Bekanntwerden von Sicherheitslücken dazu angehalten, diese schnellstmöglich durch Entwicklung eines Patches oder eines Workarounds zu beheben. Sollten Sicherheitspatches verfügbar sein, installieren Sie diese zeitnah.

  2. Konsultieren Sie zu Informationszwecken die im nächsten Abschnitt aufgeführten Quellen. Häufig enthalten diese weiterführende Informationen zur aktuellsten Model der betreffenden Software program sowie zur Verfügbarkeit von Sicherheitspatches oder Hinweise zu Workarounds.

  3. Wenden Sie sich bei weiteren Fragen oder Unsicherheiten an Ihren zuständigen Administrator. IT-Sicherheitsverantwortliche sollten regelmäßig prüfen, wann das herstellende Unternehmen ein neues Sicherheitsupdate zur Verfügung stellt.

Hersteller-Info on Updates, Patches and Workarounds

An dieser Stelle befinden sich weiterführende Hyperlinks mit Informationen über Bug-Stories, Safety-Fixes und Workarounds.

Oracle Linux Safety Advisory ELSA-2022-8022 vom 2022-11-22 (23.11.2022)
Weitere Informationen finden Sie unter: https://linux.oracle.com/errata/ELSA-2022-8022.html

Oracle Linux Safety Advisory ELSA-2022-7482 vom 2022-11-15 (16.11.2022)
Weitere Informationen finden Sie unter: https://linux.oracle.com/errata/ELSA-2022-7482.html

Purple Hat Safety Advisory RHSA-2022:8022 on 2022-11-15 (16.11.2022)
Weitere Informationen finden Sie unter: https://entry.redhat.com/errata/RHSA-2022:8022

Purple Hat Safety Advisory RHSA-2022:7482 on 2022-11-08 (09.11.2022)
Weitere Informationen finden Sie unter: https://entry.redhat.com/errata/RHSA-2022:7482

SUSE Safety Replace SUSE-SU-2022:0841-1 vom 2022-03-15 (16.03.2022)
Weitere Informationen finden Sie unter: https://lists.suse.com/pipermail/sle-security-updates/2022-March/010443.html

Purple Hat Safety Advisory on 2022-02-16 (17.02.2022)
Weitere Informationen finden Sie unter: https://entry.redhat.com/safety/cve/CVE-2022-25255

Bugzilla Safety Advisory on 2022-02-16 (17.02.2022)
Weitere Informationen finden Sie unter: https://bugzilla.redhat.com/show_bug.cgi?id=2055505

Versionshistorie dieser Sicherheitswarnung

Dies ist die 5. Model des vorliegenden IT-Sicherheitshinweises für QT. Sollten weitere Updates bekanntgegeben werden, wird dieser Textual content aktualisiert. Änderungen oder Ergänzungen können Sie in dieser Versionshistorie nachlesen.

23.11.2022 – New Updates from Oracle Linux aufgenommen
16.11.2022 – New Updates from Oracle Linux and Purple Hat aufgenommen
17.02.2022 – Initiale Fassung
16.03.2022 – New Updates from SUSE aufgenommen
09.11.2022 – New Updates from Purple Hat aufgenommen

+++ Redaktioneller Hinweis: Dieser Textual content wurde auf Foundation aktueller BSI-Daten KI-gestützt erstellt. Suggestions und Anmerkungen nehmen wir unter hinweis@information.de entgegen. +++

Folgen Sie Information.de schon bei Fb, Twitter, pinterest and Youtube? Hier finden Sie brandheiße Information, aktuelle Movies und den directekten Draht zur Redaktion.

roj/information.de

.

Tags:

Leave a Reply

Your email address will not be published. Required fields are marked *