News vom 24.04.2024
Meinberg Security Advisory: [MBGSA-2024.03] LANTIME-Firmware V7.08.010
Meinberg empfiehlt eine Aktualisierung auf die Version 7.08.010 durchzuführen.
-
LANTIME-Firmware-Version 7.08.009:
Schweregrad kritisch (0), hoch (1), mittel (5), gering (3), info (2), unbekannt (0)
- LANTIME-Firmware: V7.08.010
-
Beschreibung der Sicherheitsschwachstellen
- Software von Drittherstellern:
- curl:
-
CVE-2024-2466 - TLS certificate check bypass with mbedTLS (info - nicht betroffen)
https://curl.se/docs/CVE-2024-2466.htmlCVE-2024-2398 - HTTP/2 push headers memory-leak (mittel)
https://curl.se/docs/CVE-2024-2398.htmlCVE-2024-2379 - QUIC certificate check bypass with wolfSSL (info - nicht betroffen)
https://curl.se/docs/CVE-2024-2379.htmlCVE-2024-2004 - Usage of disabled protocol (gering)
https://curl.se/docs/CVE-2024-2004.htmlBereinigt ab:
V7.08.010 MBGID-17382
-
- linux-pam:
-
CVE-2024-22365 - pam_namespace: fixed potential local DoS (mittel)
https://github.com/advisories/GHSA-pcmw-6hxc-hqmxBereinigt ab:
V7.08.010 MBGID-17302
-
- gnutls:
-
CVE-2024-28834 - vulnerable to Minerva side-channel information leak (mittel)
https://bugzilla.redhat.com/show_bug.cgi?id=2269228CVE-2024-28835 - potential crash during chain building/verification (mittel)
https://bugzilla.redhat.com/show_bug.cgi?id=2269084Bereinigt ab:
V7.08.010 MBGID-17286
-
- shadow:
-
CVE-2023-4641 - possible password leak during passwd(1) change (gering)
https://access.redhat.com/security/cve/CVE-2023-4641Bereinigt ab:
V7.08.010 MBGID-17013
-
- libxml2:
-
CVE-2024-25062 - xmlreader: Don’t expand XIncludes when backtracking (gering)
https://gitlab.gnome.org/GNOME/libxml2/-/issues/604Bereinigt ab:
V7.08.010 MBGID-16857
-
- expat:
-
CVE-2023-52426 - Fix issues for compilation with XML_DTD undefined (mittel)
https://github.com/libexpat/libexpat/pull/777CVE-2023-52425 - Speed up parsing of big tokens (hoch)
https://github.com/libexpat/libexpat/pull/789Bereinigt ab:
V7.08.010 MBGID-16856
-
- curl:
- Software von Drittherstellern:
-
Betroffene Systeme
Die LANTIME-Firmware-Versionen vor 7.08.010 sind von den Schwachstellen betroffen. Die LANTIME-Firmware wird von allen Geräten der LANTIME-M-Serie (M100, M150, M200, M250, M300, M320, M400, M450, M600, M900) sowie allen Geräten der LANTIME-IMS-Serie (M500, M1000, M1000S, M2000S, M3000, M3000S, M4000), der SyncFire-Produktfamilie (SF1000, SF1100, SF1200, SF1500) und LANTIME CPU-Erweiterungen (LCES) verwendet.
Ob und in welchem Maß einzelne Kunden bzw. LANTIME-Systeme angreifbar sind, hängt von der jeweiligen Konfiguration, der Netzwerkinfrastruktur und anderen Faktoren ab. Aus diesem Grund kann daher keine allgemeine Aussage über die tatsächliche Angreifbarkeit der eingesetzten Systeme gemacht werden.
-
Mögliche Sicherheitsmaßnahmen
Die jeweiligen Sicherheitsupdates sind in der LANTIME-Firmware-Version 7.08.010(-light) enthalten. Eine Aktualisierung auf diese Version behebt die jeweils gelisteten Sicherheitsschwachstellen.
Download der neusten LANTIME-Firmware unter:
Die Aktualisierung ist für Meinberg-Kunden ab sofort erhältlich. Es wird empfohlen, die LANTIME-Firmware auf die letzte Version 7.08.010 zu aktualisieren. Kunden die keine Möglichkeit haben die Version 7.08.010 zu installieren, können auf die 7.08.010-light zurückgreifen.
-
Weitere Informationen
Weitere Details und Informationen finden Sie auf der folgenden Webseite:
Bitte kontaktieren Sie Ihren Meinberg-Support, wenn Sie weitere Fragen haben oder Unterstützung benötigen.
-
Danksagung
Wir möchten uns vielmals bei allen bedanken, die uns auf Schwachstellen, andere Fehler oder Verbesserungen hinwiesen.
Vielen Dank!