News vom 23.05.2022
Meinberg Security Advisory: [MBGSA-2022.02] Meinberg-LANTIME-Firmware V7.04.017 und V6.24.032
Es wird empfohlen eine Aktualisierung auf die Version 7.04.017 durchzuführen.
Einschätzung des Bedrohungsgrades bis einschließlich
-
LANTIME-Firmware V7.04.016: Bedrohungsgrad hoch (0), mittel (1), gering (0)
-
LANTIME-Firmware V7.04.015: Bedrohungsgrad hoch (0), mittel (2), gering (0)
-
LANTIME-Firmware V6.24.031: Bedrohungsgrad hoch (0), mittel (1), gering (0)
-
LANTIME-Firmware V6.24.030: Bedrohungsgrad hoch (0), mittel (2), gering (0)
Aktualisierte Versionen:
-
LANTIME-Firmware: V7.04.017
-
LANTIME-Firmware: V6.24.032
-
Beschreibung der Sicherheitsschwachstellen
-
Software von Drittherstellern:
- OpenSSL-1.1.1:
-
CVE-2022-1292 - das c_rehash Script erlaubt Command injection (mittel)
Beschreibung:
OpenSSL-1.1.1o security advisory
Bereinigt ab:
V7.04.017 MBGID-10919 und V6.24.032 MBGID-9396
- zlib:
-
CVE-2018-25032 - Speicherkorruption beim Komprimieren (mittel)
zlib 1.2.12 Changelog:
https://zlib.net/ChangeLog.txt
Bereinigt ab:
V7.04.016 MBGID-10397 und V6.24.031 MBGID-9395
-
Betroffene Systeme
Die LANTIME-Firmware-Versionen vor V7.04.017 bzw. (V6.24.032) sind von den Schwachstellen betroffen. Die LANTIME-Firmware wird von allen Geräten der LANTIME-M-Serie (M100, M200, M300, M400, M600, M900) sowie allen Geräten der LANTIME-IMS-Serie (M500, M1000, M1000S, M2000S, M3000, M3000S, M4000) und der SyncFire-Produktfamilie (SF1000 / SF1100 / SF1200) verwendet.
Ob und in welchem Maß einzelne Kunden bzw. LANTIME-Systeme angreifbar sind, hängt von der jeweiligen Konfiguration, der Netzwerkinfrastruktur und anderen Faktoren ab. Aus diesem Grund kann daher keine allgemeine Aussage über die tatsächliche Angreifbarkeit der eingesetzten Systeme gemacht werden.
-
Mögliche Sicherheitsmaßnahmen
Die jeweiligen Sicherheitsupdates sind in der LANTIME-Firmware-Version V7.04.017 und V6.24.032 enthalten. Eine Aktualisierung auf diese Versionen behebt die jeweils gelisteten Sicherheitsschwachstellen.
Download der neusten LANTIME-Firmware unter:
Alle Aktualisierungen sind für Meinberg-Kunden ab sofort erhältlich. Es wird empfohlen, die LANTIME-Firmware V7 auf die letzte Version 7.04.017 zu aktualisieren. Kunden die keine Möglichkeit haben die 7.04.017 zu installieren, können auf die V6.24.032 zurückgreifen.
-
Weitere Informationen
Weitere Details und Informationen finden Sie auf den folgenden Webseiten:
Bitte kontaktieren Sie Ihren Meinberg-Support, wenn Sie weitere Fragen haben oder Unterstützung benötigen.
-
Danksagung
Wir möchten uns vielmals bei allen bedanken, die uns auf Schwachstellen, andere Fehler oder Verbesserungen hinwiesen.
Vielen Dank!
Beschreibung der Sicherheitsschwachstellen
-
Software von Drittherstellern:
- OpenSSL-1.1.1:
-
CVE-2022-1292 - das c_rehash Script erlaubt Command injection (mittel)
Beschreibung:
OpenSSL-1.1.1o security advisory
Bereinigt ab:
V7.04.017 MBGID-10919 und V6.24.032 MBGID-9396
-
CVE-2022-1292 - das c_rehash Script erlaubt Command injection (mittel)
- zlib:
-
CVE-2018-25032 - Speicherkorruption beim Komprimieren (mittel)
zlib 1.2.12 Changelog:
https://zlib.net/ChangeLog.txt
Bereinigt ab:
V7.04.016 MBGID-10397 und V6.24.031 MBGID-9395
-
CVE-2018-25032 - Speicherkorruption beim Komprimieren (mittel)
- OpenSSL-1.1.1:
Betroffene Systeme
Die LANTIME-Firmware-Versionen vor V7.04.017 bzw. (V6.24.032) sind von den Schwachstellen betroffen. Die LANTIME-Firmware wird von allen Geräten der LANTIME-M-Serie (M100, M200, M300, M400, M600, M900) sowie allen Geräten der LANTIME-IMS-Serie (M500, M1000, M1000S, M2000S, M3000, M3000S, M4000) und der SyncFire-Produktfamilie (SF1000 / SF1100 / SF1200) verwendet.
Ob und in welchem Maß einzelne Kunden bzw. LANTIME-Systeme angreifbar sind, hängt von der jeweiligen Konfiguration, der Netzwerkinfrastruktur und anderen Faktoren ab. Aus diesem Grund kann daher keine allgemeine Aussage über die tatsächliche Angreifbarkeit der eingesetzten Systeme gemacht werden.
Mögliche Sicherheitsmaßnahmen
Die jeweiligen Sicherheitsupdates sind in der LANTIME-Firmware-Version V7.04.017 und V6.24.032 enthalten. Eine Aktualisierung auf diese Versionen behebt die jeweils gelisteten Sicherheitsschwachstellen.
Download der neusten LANTIME-Firmware unter:Alle Aktualisierungen sind für Meinberg-Kunden ab sofort erhältlich. Es wird empfohlen, die LANTIME-Firmware V7 auf die letzte Version 7.04.017 zu aktualisieren. Kunden die keine Möglichkeit haben die 7.04.017 zu installieren, können auf die V6.24.032 zurückgreifen.
Weitere Informationen
Weitere Details und Informationen finden Sie auf den folgenden Webseiten:Bitte kontaktieren Sie Ihren Meinberg-Support, wenn Sie weitere Fragen haben oder Unterstützung benötigen.
Danksagung
Wir möchten uns vielmals bei allen bedanken, die uns auf Schwachstellen, andere Fehler oder Verbesserungen hinwiesen.
Vielen Dank!