News vom 02.08.2022
Meinberg Security Advisory: [MBGSA-2022.03] Meinberg-LANTIME-Firmware V7.06.004 und V6.24.033
Die LANTIME-Firmware-Version 7.06.004 und 6.24.033 beinhalten Sicherheits-Updates der curl-Bibliothek. Des Weiteren wurde eine Schwachstelle behoben, die es ermöglichte lokale Benutzernamen zu ermitteln.
Es wird empfohlen eine Aktualisierung auf die Version 7.06.004 durchzuführen.
Einschätzung des Bedrohungsgrades bis einschließlich:
-
LANTIME-Firmware V7.06.003:
Bedrohungsgrad hoch (0), mittel (0), gering (0), info (0) -
LANTIME-Firmware V7.06.002:
Bedrohungsgrad hoch (0), mittel (0), gering (1), info (0) -
LANTIME-Firmware V7.06.001:
Bedrohungsgrad hoch (0), mittel (1), gering (1), info (0) -
LANTIME-Firmware V7.04.018:
Bedrohungsgrad hoch (0), mittel (1), gering (2), info (1) -
LANTIME-Firmware V6.24.032:
Bedrohungsgrad hoch (0), mittel (1), gering (2), info (1)
Aktualisierte Versionen:
- LANTIME-Firmware: V7.06.004
- LANTIME-Firmware: V6.24.033
-
Beschreibung der Sicherheitsschwachstellen
- Software von Drittherstellern:
- OpenSSL-1.1.1:
-
CVE-2022-2068 - Das c_rehash Script säubert die Shell-Metazeichen nicht korrekt (info)
OpenSSL-1.1.1p security advisory:
https://www.openssl.org/news/vulnerabilities.html
Das c_rehash script ist nicht Teil des LTOS. Da das LTOS nicht betroffen ist, wird diese Schwachstelle nur zur Information gekennzeichnet aufgeführt. -
CVE-2022-2097 - AES OCB verschlüsselt nicht alle Bytes (gering)
OpenSSL-1.1.1q security advisory:
https://www.openssl.org/news/vulnerabilities.html
Der AES-OCB-Modus wird vom LTOS in keiner Funktionalität verwendet. Es ist jedoch nicht ausgeschlossen, dass Kunden eigene Anpassungen an der Firmware vorgenommen haben, die den AES OCB Modus verwenden. Aus diesen Gründen stuft Meinberg die Schwachstelle nur als gering ein.Bereinigt ab: V7.06.003 MBGID-11452 und V6.24.033 MBGID-9408
-
CVE-2022-2068 - Das c_rehash Script säubert die Shell-Metazeichen nicht korrekt (info)
-
curl:
-
CVE-2022-32208, CVE-2022-32207, CVE-2022-32206,
CVE-2022-32205, CVE-2022-30115, CVE-2022-27782,
CVE-2022-27781, CVE-2022-27780, CVE-2022-27779,
CVE-2022-27778, CVE-2022-27776, CVE-2022-27775,
CVE-2022-27774 - Diverse Sicherheitsschwachstellen (mittel)
Curl security advisory:
https://curl.se/docs/security.htmlBereinigt ab:
V7.06.002 MBGID-11342 und V6.24.033 MBGID-9405
-
CVE-2022-32208, CVE-2022-32207, CVE-2022-32206,
CVE-2022-32205, CVE-2022-30115, CVE-2022-27782,
CVE-2022-27781, CVE-2022-27780, CVE-2022-27779,
CVE-2022-27778, CVE-2022-27776, CVE-2022-27775,
CVE-2022-27774 - Diverse Sicherheitsschwachstellen (mittel)
- OpenSSL-1.1.1:
- LANTIME OS:
- Benutzer-Anmeldung allgemein:
-
NOCVE - Benutzerauflistung durch Anmeldeversuche (gering)
Durch eine unterschiedlich lange Verarbeitungszeit von existenten und nicht-existenten lokalen Benutzern war es unter Umständen möglich, Benutzernamen herauszufinden.
Bereinigt ab:
V7.06.001 MBGID-11020 und V6.24.033 MBGID-9406
-
NOCVE - Benutzerauflistung durch Anmeldeversuche (gering)
- Benutzer-Anmeldung allgemein:
- Software von Drittherstellern:
-
Betroffene Systeme
Die LANTIME-Firmware-Versionen vor V7.06.003 bzw. (V6.24.033) sind von den Schwachstellen betroffen. Die LANTIME-Firmware wird von allen Geräten der LANTIME-M-Serie (M100, M200, M300, M400, M600, M900) sowie allen Geräten der LANTIME-IMS-Serie (M500, M1000, M1000S, M2000S, M3000, M3000S, M4000) und der SyncFire-Produktfamilie (SF1000 / SF1100 / SF1200) verwendet.
Ob und in welchem Maß einzelne Kunden bzw. LANTIME-Systeme angreifbar sind, hängt von der jeweiligen Konfiguration, der Netzwerkinfrastruktur und anderen Faktoren ab. Aus diesem Grund kann daher keine allgemeine Aussage über die tatsächliche Angreifbarkeit der eingesetzten Systeme gemacht werden.
-
Mögliche Sicherheitsmaßnahmen
Die jeweiligen Sicherheitsupdates sind in der LANTIME-Firmware-Version V7.06.004(-light) und V6.24.033 enthalten. Eine Aktualisierung auf diese Versionen behebt die jeweils gelisteten Sicherheitsschwachstellen.Download der neusten LANTIME-Firmware unter:
Alle Aktualisierungen sind für Meinberg-Kunden ab sofort erhältlich. Es wird empfohlen, die LANTIME-Firmware V7 auf die letzte Version 7.06.004 zu aktualisieren. Kunden die keine Möglichkeit haben die 7.06.004 zu installieren, können vorzugsweise auf die V7.06.004-light zurückgreifen.
-
Weitere Informationen
Weitere Details und Informationen finden Sie auf den folgenden Webseiten:- LANTIME-Firmware Release Notes: V7.06.004 / V7.06.004-light
- LANTIME-Firmware Changelog: V6.24.033
Bitte kontaktieren Sie Ihren Meinberg-Support, wenn Sie weitere Fragen haben oder Unterstützung benötigen.
-
Danksagung
Wir möchten uns vielmals bei allen bedanken, die uns auf Schwachstellen, andere Fehler oder Verbesserungen hingewiesen haben.
Vielen Dank!