News vom 24.01.2023


Meinberg Security Advisory: [MBGSA-2023.01] Meinberg-LANTIME-Firmware V7.06.009 und V6.24.035

Die LANTIME-Firmware-Version 7.06.009 und 6.24.035 beinhalten Sicherheits-Updates diverser Bibliotheken und Programme. Das Update V6.24.035 ist das letzte geplante Update der LTOS-Version 6.

Es wird dringend empfohlen die Geräte, die noch mit einer Version 6 betrieben werden, auf die Version V7.06.009 oder V7.06.009-light zu aktualisieren. Es wird allgemein empfohlen eine Aktualisierung auf die Version 7.06.009 durchzuführen.


Einschätzung des Schweregrad bis einschließlich

  • LANTIME-Firmware V7.06.007:
    Schweregrad kritisch (0), hoch (1), mittel (0), gering (2)
  • LANTIME-Firmware V6.24.034:
    Schweregrad kritisch (0), hoch (1), mittel (0), gering (2)

Aktualisierte Version:

  • LANTIME-Firmware: V7.06.009
  • LANTIME-Firmware: V6.24.035

  1. Beschreibung der Sicherheitsschwachstellen

    • Software von Drittherstellern:
      • curl:
        • CVE-2022-42915, CVE-2022-42916, CVE-2022-35252, CVE-2022-35260 - HSTS Überprüfung nicht korrekt (hoch)
          https://curl.se/docs/security.html

          Bereinigt ab: V7.06.008 MBGID-12415 und V6.24.035 MBGID-9531

          Hinweis: Die Schwachstelle CVE-2022-42915 tritt nur auf, wenn ein Proxy für einen Curl-Aufruf mit dem Schema dict, gopher, gophers, ldap, ldaps, rtmp, rtmps, oder telnet genutzt wird.

          Die Schema werden vom LTOS nicht genutzt. Das Problem kann nur auftreten, wenn curl selbständig vom Benutzer über die Kommandozeile aufgerufen wird.

      • sudo:
        • CVE-2022-43995 - Heap-basierter buffer over-read oder buffer overflow (gering)
          https://www.sudo.ws/releases/stable/

          Bereinigt ab: V7.06.008 MBGID-12419 und V6.24.035 MBGID-9519

          Hinweis: Schweregrad gering, da nur Super-User, die die höchsten Privilegien besitzen, sudo nutzen können.

      • dbus:
        • CVE-2022-42012, CVE-2022-42011, CVE-2022-42010 - Manipulierte Nachrichten führen zum Absturz (gering)
          https://gitlab.freedesktop.org/dbus/dbus/blob/dbus-1.12/NEWS

          Bereinigt ab: V7.06.008 MBGID-12298 und V6.24.035 MBGID-9518

          Hinweis: Schweregrad gering, da nur Super-User, die die höchsten Privilegien besitzen, per console d-bus nutzen können.

    • Betroffene Systeme

      Die LANTIME-Firmware-Versionen vor V7.06.008 (bzw. vor V6.24.035) sind von den Schwachstellen betroffen. Die LANTIME-Firmware wird von allen Geräten der LANTIME-M-Serie (M100, M150, M200, M250, M300, M320, M400, M450, M600, M900) sowie allen Geräten der LANTIME-IMS-Serie (M500, M1000, M1000S, M2000S, M3000, M3000S, M4000) und der SyncFire-Produktfamilie (SF1000, SF1100, SF1200) verwendet.

      Ob und in welchem Maß einzelne Kunden bzw. LANTIME-Systeme angreifbar sind, hängt von der jeweiligen Konfiguration, der Netzwerkinfrastruktur und anderen Faktoren ab. Aus diesem Grund kann daher keine allgemeine Aussage über die tatsächliche Angreifbarkeit der eingesetzten Systeme gemacht werden.

    • Mögliche Sicherheitsmaßnahmen

      Die jeweiligen Sicherheitsupdates sind in der LANTIME-Firmware-Version V7.06.009(-light) und V6.24.035 enthalten. Eine Aktualisierung auf diese Versionen behebt die jeweils gelisteten Sicherheitsschwachstellen.

      Download der neusten LANTIME-Firmware unter:

      Alle Aktualisierungen sind für Meinberg-Kunden ab sofort erhältlich. Es wird empfohlen, die LANTIME-Firmware auf die letzte Version 7.06.009 zu aktualisieren. Kunden die keine Möglichkeit haben die 7.06.009 zu installieren, können auf die V7.06.009-light zurückgreifen.

    • Weitere Informationen

      Weitere Details und Informationen finden Sie auf den folgenden Webseiten:

      Bitte kontaktieren Sie Ihren Meinberg-Support, wenn Sie weitere Fragen haben oder Unterstützung benötigen.

    • Danksagung

    • Wir möchten uns vielmals bei allen bedanken, die uns auf Schwachstellen, andere Fehler oder Verbesserungen hinwiesen.

      Vielen Dank!


Meinberg Mail Contact Meinberg Mail Contact Meinberg Mail Contact Meinberg Mail Contact Meinberg Mail Contact Meinberg Mail Contact Meinberg Mail Contact Meinberg Mail Contact Meinberg Mail Contact Meinberg Mail Contact Meinberg Mail Contact Meinberg Mail Contact Meinberg Mail Contact Meinberg Mail Contact Meinberg Mail Contact Meinberg Mail Contact Meinberg Mail Contact Meinberg Mail Contact Meinberg Mail Contact Meinberg Mail Contact Meinberg Mail Contact Meinberg Mail Contact Meinberg Mail Contact Meinberg Mail Contact Meinberg Mail Contact Meinberg Mail Contact