Für Microsoft Developer Tools wurde ein Update zur IT-Sicherheitswarnung einer bekannten Schwachstelle veröffentlicht. Eine Beschreibung der Sicherheitslücke inklusive der neuesten Updates sowie Infos zu betroffenen Betriebssystemen und Produkten lesen Sie hier.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat am 02.04.2024 ein Update zu einer am 13.02.2024 bekanntgewordenen Sicherheitslücke für Microsoft Developer Tools veröffentlicht. Betroffen von der Sicherheitslücke sind das Betriebssystem Windows sowie die Produkte Red Hat Enterprise Linux, Oracle Linux, Microsoft ASP.NET, Microsoft Visual Studio 2022, Microsoft Azure DevOps Server und RESF Rocky Linux.
Die neuesten Hersteller-Empfehlungen bezüglich Updates, Workarounds und Sicherheitspatches für diese Sicherheitslücke finden Sie hier: Red Hat Security Advisory RHSA-2024:1641 (Stand: 02.04.2024). Weitere nützliche Links werden weiter unten in diesem Artikel aufgeführt.
Sicherheitshinweis für Microsoft Developer Tools - Risiko: mittel
Risikostufe: 4 (mittel)
CVSS Base Score: 7,5
CVSS Temporal Score: 6,5
Remoteangriff: Ja
Zur Bewertung des Schweregrads von Schwachstellen in Computersystemen wird das Common Vulnerability Scoring System (CVSS) angewandt. Der CVSS-Standard ermöglicht es, potenzielle oder tatsächliche Sicherheitslücken auf Basis verschiedener Metriken miteinander zu vergleichen, um eine darauf aufbauende Prioritätenliste zur Einleitung von Gegenmaßnahmen zu erstellen. Für die Schweregrade einer Schwachstelle werden die Attribute "keine", "niedrig", "mittel", "hoch" und "kritisch" verwendet. Der Base Score bewertet die Voraussetzungen für einen Angriff (u.a. Authentifizierung, Komplexität, Privilegien, Userinteraktion) sowie dessen Konsequenzen. Beim Temporal Score fließen über die Zeit veränderbare Rahmenbedingungen in die Bewertung ein. Die Gefährdung der aktuellen Schwachstelle wird nach dem CVSS mit einem Base Score von 7,5 als "mittel" eingeschätzt.
Microsoft Developer Tools Bug: Mehrere Schwachstellen ermöglichen Codeausführung
Microsoft ASP.NET (Active Server Pages .NET) ist eine Technologie zum Erstellen dynamischer Webseiten, Webanwendungen und Webservices auf Basis des Microsoft .NET-Frameworks.Microsoft Azure DevOps Server ist eine Plattform für kollaborative Softwareprojekte.Microsoft Visual Studio ist eine integrierte Entwicklungsumgebung für Hochsprachen.
Ein entfernter Angreifer kann mehrere Schwachstellen in verschiedenen Microsoft Developer Tools ausnutzen, um beliebigen Code auszuführen oder einen Denial-of-Service-Zustand zu verursachen.
Die Verwundbarkeit wird mit den eindeutigen CVE-Identifikationsnummern (Common Vulnerabilities and Exposures) CVE-2024-20667, CVE-2024-21386 und CVE-2024-21404 gehandelt.
Von der Sicherheitslücke betroffene Systeme im Überblick
Betriebssystem
Windows
Produkte
Red Hat Enterprise Linux (cpe:/o:redhat:enterprise_linux)
Oracle Linux (cpe:/o:oracle:linux)
Microsoft ASP.NET Core 8.0 (cpe:/a:microsoft:asp.net)
Microsoft ASP.NET Core 6.0 (cpe:/a:microsoft:asp.net)
Microsoft Visual Studio 2022 version 17.4 (cpe:/a:microsoft:visual_studio_2022)
Microsoft Visual Studio 2022 version 17.6 (cpe:/a:microsoft:visual_studio_2022)
Microsoft Azure DevOps Server 2019.1.2 (cpe:/o:microsoft:azure_devops_server)
Microsoft Azure DevOps Server 2020.1.2 (cpe:/o:microsoft:azure_devops_server)
Microsoft ASP.NET Core 7.0 (cpe:/a:microsoft:asp.net)
RESF Rocky Linux (cpe:/o:resf:rocky_linux)
Microsoft Visual Studio 2022 version 17.8 (cpe:/a:microsoft:visual_studio_2022)
Allgemeine Empfehlungen zum Umgang mit IT-Sicherheitslücken
- Anwender der betroffenen Systeme sollten diese auf dem aktuellsten Stand halten. Hersteller sind bei Bekanntwerden von Sicherheitslücken dazu angehalten, diese schnellstmöglich durch Entwicklung eines Patches oder eines Workarounds zu beheben. Sollten Sicherheitspatches verfügbar sein, installieren Sie diese zeitnah.
- Konsultieren Sie zu Informationszwecken die im nächsten Abschnitt aufgeführten Quellen. Häufig enthalten diese weiterführende Informationen zur aktuellsten Version der betreffenden Software sowie zur Verfügbarkeit von Sicherheitspatches oder Hinweise zu Workarounds.
- Wenden Sie sich bei weiteren Fragen oder Unsicherheiten an Ihren zuständigen Administrator. IT-Sicherheitsverantwortliche sollten regelmäßig prüfen, wann das herstellende Unternehmen ein neues Sicherheitsupdate zur Verfügung stellt.
Quellen zu Updates, Patches und Workarounds
An dieser Stelle finden Sie weiterführende Links mit Informationen über Bug-Reports, Security-Fixes und Workarounds.
Red Hat Security Advisory RHSA-2024:1641 vom 2024-04-02 (02.04.2024)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2024:1641
Red Hat Security Advisory RHSA-2024:1643 vom 2024-04-02 (02.04.2024)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2024:1643
Red Hat Security Advisory RHSA-2024:1555 vom 2024-03-28 (27.03.2024)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2024:1555
Red Hat Security Advisory RHSA-2024:1554 vom 2024-03-28 (27.03.2024)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2024:1554
Red Hat Security Advisory RHSA-2024:1553 vom 2024-03-28 (27.03.2024)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2024:1553
Red Hat Security Advisory RHSA-2024:1552 vom 2024-03-28 (27.03.2024)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2024:1552
Rocky Linux Security Advisory RLSA-2024:0827 vom 2024-03-12 (12.03.2024)
Weitere Informationen finden Sie unter: https://errata.build.resf.org/RLSA-2024:0827
Rocky Linux Security Advisory RLSA-2024:0806 vom 2024-03-12 (12.03.2024)
Weitere Informationen finden Sie unter: https://errata.build.resf.org/RLSA-2024:0806
Oracle Linux Security Advisory ELSA-2024-0827 vom 2024-02-21 (21.02.2024)
Weitere Informationen finden Sie unter: https://linux.oracle.com/errata/ELSA-2024-0827.html
Oracle Linux Security Advisory ELSA-2024-0848 vom 2024-02-17 (18.02.2024)
Weitere Informationen finden Sie unter: https://linux.oracle.com/errata/ELSA-2024-0848.html
Oracle Linux Security Advisory ELSA-2024-0808 vom 2024-02-15 (15.02.2024)
Weitere Informationen finden Sie unter: https://linux.oracle.com/errata/ELSA-2024-0808.html
Oracle Linux Security Advisory ELSA-2024-0807 vom 2024-02-15 (15.02.2024)
Weitere Informationen finden Sie unter: https://linux.oracle.com/errata/ELSA-2024-0807.html
Oracle Linux Security Advisory ELSA-2024-0806 vom 2024-02-16 (15.02.2024)
Weitere Informationen finden Sie unter: https://linux.oracle.com/errata/ELSA-2024-0806.html
Oracle Linux Security Advisory ELSA-2024-0805 vom 2024-02-15 (15.02.2024)
Weitere Informationen finden Sie unter: https://linux.oracle.com/errata/ELSA-2024-0805.html
Red Hat Security Advisory RHSA-2024:0848 vom 2024-02-15 (15.02.2024)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2024:0848
Red Hat Security Advisory RHSA-2024:0827 vom 2024-02-15 (14.02.2024)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2024:0827
Red Hat Security Advisory RHSA-2024:0814 vom 2024-02-14 (13.02.2024)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2024:0814
Red Hat Security Advisory RHSA-2024:0808 vom 2024-02-13 (13.02.2024)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2024:0808
Red Hat Security Advisory RHSA-2024:0806 vom 2024-02-13 (13.02.2024)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2024:0806
Red Hat Security Advisory RHSA-2024:0805 vom 2024-02-13 (13.02.2024)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2024:0805
Red Hat Security Advisory RHSA-2024:0807 vom 2024-02-13 (13.02.2024)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2024:0807
Microsoft Leitfaden für Sicherheitsupdates vom 2024-02-13 (13.02.2024)
Weitere Informationen finden Sie unter: https://msrc.microsoft.com/update-guide
Versionshistorie dieser Sicherheitswarnung
Dies ist die 8. Version des vorliegenden IT-Sicherheitshinweises für Microsoft Developer Tools. Bei Bekanntgabe weiterer Updates wird dieser Text aktualisiert. Die vorgenommenen Änderungen können Sie anhand der folgenden Versionshistorie nachvollziehen.
13.02.2024 - Initiale Fassung
14.02.2024 - Neue Updates von Red Hat aufgenommen
15.02.2024 - Neue Updates von Red Hat aufgenommen
18.02.2024 - Neue Updates von Oracle Linux aufgenommen
21.02.2024 - Neue Updates von Oracle Linux aufgenommen
12.03.2024 - Neue Updates von Rocky Enterprise Software Foundation aufgenommen
27.03.2024 - Neue Updates von Red Hat aufgenommen
02.04.2024 - Neue Updates von Red Hat aufgenommen
+++ Redaktioneller Hinweis: Dieser Text wurde auf Basis aktueller BSI-Daten generiert und wird je nach Warnlage datengetrieben aktualisiert. Feedback und Anmerkungen nehmen wir unter hinweis@news.de entgegen. +++
Folgen Sie News.de schon bei Facebook, Twitter, Pinterest und YouTube? Hier finden Sie brandheiße News, aktuelle Videos und den direkten Draht zur Redaktion.
Bearbeitet durch kns
roj/news.de