IT-Sicherheit: UNIX und Windows gefährdet - Update für IT-Sicherheitshinweis zu libarchive (Risiko: mittel)
Wie das BSI meldet, hat die IT-Sicherheitswarnung, welche eine vorliegende Schwachstelle für libarchive betrifft, ein Update erhalten. Eine Beschreibung der Sicherheitslücke inklusive der neuesten Updates sowie Infos zu den betroffenen Betriebssystemen UNIX und Windows und Produkten lesen Sie hier.
Erstellt von Sarah Knauth - Uhr
Suche
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat am 18.05.2026 ein Update zu einer am 19.03.2026 bekanntgewordenen Sicherheitslücke für libarchive veröffentlicht. Betroffen von der Sicherheitslücke sind die Betriebssysteme UNIX und Windows sowie die Produkte Debian Linux, Red Hat Enterprise Linux, Oracle Linux, IBM MQ, NetApp ActiveIQ Unified Manager, RESF Rocky Linux, Open Source libarchive und Red Hat OpenShift.
Die neuesten Hersteller-Empfehlungen bezüglich Updates, Workarounds und Sicherheitspatches für diese Sicherheitslücke finden Sie hier: IBM Security Bulletin 7273338 (Stand: 18.05.2026). Weitere nützliche Quellen werden weiter unten in diesem Artikel aufgeführt.
Sicherheitshinweis für libarchive - Risiko: mittel
Risikostufe: 3 (mittel)
CVSS Base Score: 7,5
CVSS Temporal Score: 6,5
Remoteangriff: Ja
Zur Bewertung der Verwundbarkeit von Computersystemen wird das Common Vulnerability Scoring System (CVSS) angewandt. Der CVSS-Standard ermöglicht es, potenzielle oder tatsächliche Sicherheitslücken auf Basis verschiedener Kriterien miteinander zu vergleichen, um Gegenmaßnahmen besser priorisieren zu können. Für die Schweregrade einer Schwachstelle werden die Attribute "keine", "niedrig", "mittel", "hoch" und "kritisch" verwendet. Der Base Score bewertet die Voraussetzungen für einen Angriff (u.a. Authentifizierung, Komplexität, Privilegien, Userinteraktion) sowie dessen Konsequenzen. Der Temporal Score berücksichtigt darüber hinaus zeitliche Veränderungen hinsichtlich der Gefahrenlage. Der Schweregrad der hier behandelten Schwachstelle wird nach dem CVSS mit einem Base Score von 7,5 als "mittel" eingeschätzt.
libarchive Bug: Mehrere Schwachstellen ermöglichen Offenlegung von Informationen und DoS
libarchive ist eine C Bibliothek und ein Kommandozeilen-Tool zum Lesen und Bearbeiten von tar, cpio, zip, ISO und anderen Formaten.
Ein entfernter, anonymer Angreifer kann mehrere Schwachstellen in libarchive ausnutzen, um Informationen offenzulegen und um einen Denial-of-Service-Zustand zu erzeugen.
Klassifiziert wurden die Schwachstellen mithilfe des CVE-Bezeichnungssystems (Common Vulnerabilities and Exposures) durch die individuellen Seriennummern CVE-2026-4424 und CVE-2026-4426.
Von der libarchive-Sicherheitslücke betroffene Systeme im Überblick
Betriebssysteme
UNIX, Windows
Produkte
Debian Linux (cpe:/o:debian:debian_linux)
Red Hat Enterprise Linux (cpe:/o:redhat:enterprise_linux)
Oracle Linux (cpe:/o:oracle:linux)
IBM MQ (cpe:/a:ibm:mq)
NetApp ActiveIQ Unified Manager for VMware vSphere (cpe:/a:netapp:active_iq_unified_manager)
RESF Rocky Linux (cpe:/o:resf:rocky_linux)
Open Source libarchive (cpe:/a:libarchive:libarchive)
Red Hat OpenShift Container Platform <4.15.64 (cpe:/a:redhat:openshift)
Red Hat OpenShift Container Platform 4.15.64 (cpe:/a:redhat:openshift)
IBM MQ Agent (cpe:/a:ibm:mq)
Allgemeine Maßnahmen zum Umgang mit IT-Schwachstellen
- Anwender der betroffenen Anwendungen sollten diese auf dem aktuellsten Stand halten. Hersteller sind bei Bekanntwerden von Sicherheitslücken dazu angehalten, diese schnellstmöglich durch Entwicklung eines Patches oder eines Workarounds zu beheben. Sollten neue Sicherheitsupdates verfügbar sein, installieren Sie diese zeitnah.
- Konsultieren Sie zu Informationszwecken die im nächsten Abschnitt aufgeführten Quellen. Häufig enthalten diese weiterführende Informationen zur aktuellsten Version der betreffenden Software sowie zur Verfügbarkeit von Sicherheitspatches oder Hinweise zu Workarounds.
- Wenden Sie sich bei weiteren Fragen oder Unsicherheiten an Ihren zuständigen Administrator. IT-Sicherheitsverantwortliche sollten die genannten Quellen regelmäßig daraufhin prüfen, ob ein neues Sicherheitsupdate zur Verfügung steht.
Quellen zu Updates, Patches und Workarounds
An dieser Stelle befinden sich weiterführende Links mit Informationen über Bug-Reports, Security-Fixes und Workarounds.
IBM Security Bulletin 7273338 vom 2026-05-18 (18.05.2026)
Weitere Informationen finden Sie unter: https://www.ibm.com/support/pages/node/7273338
IBM Security Bulletin 7273145 vom 2026-05-15 (17.05.2026)
Weitere Informationen finden Sie unter: https://www.ibm.com/support/pages/node/7273145
Red Hat Security Advisory RHSA-2026:15087 vom 2026-05-13 (14.05.2026)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2026:15087
Red Hat Security Advisory vom 2026-05-13 (14.05.2026)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2026:14773
Red Hat Security Advisory RHSA-2026:12071 vom 2026-05-11 (10.05.2026)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2026:12071
Red Hat Security Advisory RHSA-2026:12273 vom 2026-05-08 (10.05.2026)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2026:12274
Red Hat Security Advisory RHSA-2026:12273 vom 2026-05-09 (10.05.2026)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2026:12274
Red Hat Security Advisory RHSA-2026:14937 vom 2026-05-08 (07.05.2026)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2026:14937
Red Hat Security Advisory RHSA-2026:14391 vom 2026-05-07 (06.05.2026)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2026:14391
Red Hat Security Advisory RHSA-2026:13812 vom 2026-05-05 (05.05.2026)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2026:13812
Debian Security Advisory DLA-4563 vom 2026-05-05 (04.05.2026)
Weitere Informationen finden Sie unter: https://lists.debian.org/debian-lts-announce/2026/05/msg00007.html
Red Hat Security Advisory RHSA-2026:10097 vom 2026-04-30 (03.05.2026)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2026:10097
Red Hat Security Advisory RHSA-2026:11768 vom 2026-04-29 (29.04.2026)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2026:11768
Red Hat Security Advisory RHSA-2026:8944 vom 2026-04-22 (22.04.2026)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2026:8944
Red Hat Security Advisory RHSA-2026:10065 vom 2026-04-23 (22.04.2026)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2026:10065
Red Hat Security Advisory RHSA-2026:9832 vom 2026-04-22 (22.04.2026)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2026:9832
NetApp Security Advisory NTAP-20260417-0007 vom 2026-04-21 (21.04.2026)
Weitere Informationen finden Sie unter: https://security.netapp.com/advisory/NTAP-20260417-0007
Red Hat Security Advisory RHSA-2026:9592 vom 2026-04-22 (21.04.2026)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2026:9592
Red Hat Security Advisory RHSA-2026:9026 vom 2026-04-20 (20.04.2026)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2026:9026
Red Hat Security Advisory RHSA-2026:8866 vom 2026-04-20 (19.04.2026)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2026:8866
Rocky Linux Security Advisory RLSA-2026:8534 vom 2026-04-18 (19.04.2026)
Weitere Informationen finden Sie unter: https://errata.build.resf.org/RLSA-2026:8534
Rocky Linux Security Advisory RLSA-2026:8510 vom 2026-04-19 (19.04.2026)
Weitere Informationen finden Sie unter: https://errata.build.resf.org/RLSA-2026:8510
Rocky Linux Security Advisory RLSA-2026:8492 vom 2026-04-18 (19.04.2026)
Weitere Informationen finden Sie unter: https://errata.build.resf.org/RLSA-2026:8492
Red Hat Security Advisory RHSA-2026:8908 vom 2026-04-20 (19.04.2026)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2026:8908
Oracle Linux Security Advisory ELSA-2026-8510 vom 2026-04-19 (19.04.2026)
Weitere Informationen finden Sie unter: http://linux.oracle.com/errata/ELSA-2026-8510.html
Red Hat Security Advisory RHSA-2026:8864 vom 2026-04-20 (19.04.2026)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2026:8864
Red Hat Security Advisory RHSA-2026:8865 vom 2026-04-20 (19.04.2026)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2026:8865
Red Hat Security Advisory RHSA-2026:8867 vom 2026-04-20 (19.04.2026)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2026:8867
Red Hat Security Advisory RHSA-2026:8873 vom 2026-04-20 (19.04.2026)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2026:8873
Oracle Linux Security Advisory ELSA-2026-8534 vom 2026-04-19 (19.04.2026)
Weitere Informationen finden Sie unter: https://oss.oracle.com/pipermail/el-errata/2026-April/020240.html
Oracle Linux Security Advisory ELSA-2026-8492 vom 2026-04-16 (16.04.2026)
Weitere Informationen finden Sie unter: https://linux.oracle.com/errata/ELSA-2026-8492.html
Red Hat Security Advisory RHSA-2026:8492 vom 2026-04-16 (16.04.2026)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2026:8492
Red Hat Security Advisory RHSA-2026:8534 vom 2026-04-16 (16.04.2026)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2026:8534
Red Hat Security Advisory RHSA-2026:8510 vom 2026-04-16 (16.04.2026)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2026:8510
Red Hat Security Advisory RHSA-2026:8517 vom 2026-04-16 (16.04.2026)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2026:8517
Red Hat Security Advisory RHSA-2026:8521 vom 2026-04-16 (16.04.2026)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2026:8521
Red Hat Bugtracker #2449010 vom 2026-03-19 (19.03.2026)
Weitere Informationen finden Sie unter: https://bugzilla.redhat.com/show_bug.cgi?id=2449010
Red Hat Bugtracker #2449006 vom 2026-03-19 (19.03.2026)
Weitere Informationen finden Sie unter: https://bugzilla.redhat.com/show_bug.cgi?id=2449006
Versionshistorie dieses Sicherheitshinweises
Dies ist die 16. Version des vorliegenden IT-Sicherheitshinweises für libarchive. Sollten weitere Updates bekanntgegeben werden, wird dieser Text aktualisiert. Die vorgenommenen Änderungen können Sie anhand der folgenden Versionshistorie nachvollziehen.
19.03.2026 - Initiale Fassung
16.04.2026 - Neue Updates von Red Hat und Oracle Linux aufgenommen
19.04.2026 - Neue Updates von Oracle Linux, Red Hat und Rocky Enterprise Software Foundation aufgenommen
20.04.2026 - Neue Updates von Red Hat aufgenommen
21.04.2026 - Neue Updates von Red Hat und NetApp aufgenommen
22.04.2026 - Neue Updates von Red Hat aufgenommen
29.04.2026 - Neue Updates von Red Hat aufgenommen
03.05.2026 - Neue Updates von Red Hat aufgenommen
04.05.2026 - Neue Updates von Debian aufgenommen
05.05.2026 - Neue Updates von Red Hat aufgenommen
06.05.2026 - Neue Updates von Red Hat aufgenommen
07.05.2026 - Neue Updates von Red Hat aufgenommen
10.05.2026 - Neue Updates von Red Hat aufgenommen
14.05.2026 - Neue Updates von Red Hat aufgenommen
17.05.2026 - Neue Updates von IBM aufgenommen
18.05.2026 - Neue Updates von IBM aufgenommen
+++ Redaktioneller Hinweis: Dieser Text wurde auf Basis aktueller BSI-Daten generiert und wird je nach Warnlage datengetrieben aktualisiert. Feedback und Anmerkungen nehmen wir unter hinweis@news.de entgegen. +++
kns/roj/news.de
Erfahren Sie hier mehr über die journalistischen Standards und die Redaktion von news.de.