Sie verwenden keine aktuelle Browser-Version. Deshalb wird die Webseite möglicherweise nicht korrekt dargestellt. Hier finden Sie weitere Hinweise.

Die Sicherheitslücken des Monats Dezember

Inhaltsverzeichnis

Anbei erhalten Sie einen Überblick über die Sicherheitslücken des Monats Dezember 2021 (Base Score größer 8.0):

Log4j

Diesen Monat gibt es eine dringliche und sehr kritische Lücke (Alarmstufe rot!), die sie absolut dringend schließen sollten.

Bitte lesen Sie hierzu auch:

Microsoft’s Response to CVE-2021-44228 Apache Log4j 2 – Microsoft Security Response Center

Zusätzlich dazu gibt es betroffene Komponenten von Citrix und OpenText:

Citrix

CVE-2021-44228  – Apache Log4j

Base Score: 10

Betroffene Komponenten: Citrix Virtual Apps and Desktops (XenApp & XenDesktop) / Citrix Endpoint Management (Citrix XenMobile Server)

Diese Lücke erlaubt einem Angreifer, der in der Lage ist, Protokollnachrichten oder Protokollnachrichtenparameter zu kontrollieren, beliebigen Code auszuführen, der von LDAP-Servern geladen wird, wenn die Nachschlageersetzung für Nachrichten aktiviert ist.

Bitte schließen Sie diese Lücke dringend sofort!

OpenText

CVE-2021-44228 – Log4j third-party library used by OpenText™ Content Server

Base Score: 10

Betroffene Komponente: OpenText™ Content Server

Das Problem hängt mit den JNDI-Funktionen von Apache Log4j zusammen, die keinen Schutz gegen von Angreifern kontrollierte LDAP- und andere JNDI-Endpunkte bieten.

Bitte schließen Sie diese Lücke dringend sofort!

SAP

CVE-2021-44231 – Code Injection vulnerability in SAP ABAP Server & ABAP Platform (Translation Tools)

Base Score: 9.9

Betroffene Komponenten: SAP ABAP Server & ABAP Platform (Translation Tools)

Ein Angreifer mit geringen Rechten kann die Schwachstelle in intern verwendeten Textextraktionsberichten (Übersetzungstools) ausnutzen, was die Ausführung beliebiger Befehle im Hintergrund ermöglicht. Ein Angreifer könnte dadurch das Verhalten der Anwendung kontrollieren und alle Daten kompromittieren. Daher sollte SNOTE implementiert werden.

Diese Lücke ist sehr kritisch und wir empfehlen dringend sie sofort durch aktuelle Updates zu schließen!

CVE-2021-42064 – SQL Injection vulnerability in SAP Commerce

Base Score: 8.8

Betroffene Komponente: SAP Commerce

Ein Angreifer kann mit Hilfe einer SQL Injection in SAP Commerce eindringen und Code ausführen. Um das zu vermeiden, wird empfohlen diese Lücke mit dem entsprechend Update seitens SAP zu schließen.

Diese Lücke ist kritisch und wir empfehlen diese durch aktuelle Updates zu schließen.

CVE-2021-42063 – Cross-Site Scripting (XSS) vulnerability in SAP Knowledge Warehouse

Base Score: 8.8

Betroffene Komponente: SAP Knowledge Warehouse (SAP KW)

Im SAP Knowledge Warehouse (SAP KW) wurde eine Sicherheitslücke entdeckt. Die Verwendung der SAP KW Komponente innerhalb eines Webbrowsers ermöglicht unbefugten Angreifern die Durchführung von XSS Attacken, die zur Offenlegung sensibler Daten führen können. Daher sollten Patches oder zumindest Workarounds implementiert werden.

Diese Lücke ist kritisch. Wir empfehlen diese dringend zu schließen.

CVE-2021-44235 – Code Injection vulnerability in utility class for SAP NetWeaver AS ABAP

Base Score: 8.4

Betroffene Komponente: SAP NetWeaver AS ABAP

Zwei Methoden im SAP NetWeaver AS ABAP ermöglichen es einem Angreifer mit hohen Rechten und direktem Zugriff auf das SAP-System, bei der Ausführung einer Transaktion (SE24 – Class Builder) Code einzuschleusen.

Potenziell ausgeführte, beliebige Befehle auf dem Betriebssystem ermöglichen es die Vertraulichkeit, Integrität und Verfügbarkeit des Systems stark zu beeinträchtigen. Kunden sollten die Berechtigungen überprüfen oder SNOTE implementieren.

Diese Lücke ist kritisch und wir empfehlen diese durch aktuelle Updates zu schließen.

Microsoft

CVE-2021-41365 / CVE-2021-42310 / CVE-2021-42311 / CVE-2021-42313 / CVE-2021-42314 / CVE-2021-42315 / CVE-2021-43882 – Vulnerability in Microsoft Defender for IoT related to remote code execution

Base Score: 8.1 – 9.0

Betroffene Komponente: Microsoft Defender for IoT

Eine Lücke in Microsoft Defender for IoT ermöglicht es einem Angreifer ggf. Code auszuführen.

Ein Angreifer muss sich bei der Verwaltungskonsolen-Appliance authentifizieren und über ein hier dokumentiertes Integrationstoken verfügen: https://docs.microsoft.com/de-de/azure/defender-for-iot/references-work-with-defender-for-iot-apis

Wir raten Ihnen bei Nutzung der Komponenten den Patch einzuspielen um potenziellen Angriffen entgegenzuwirken.

CVE-2021-42306 – Vulnerability in Azure Active Directory related to information disclosure

Base Score: 8.1

Betroffene Komponenten: Azure Migrate / Azure Site Recovery / Azure Active Directory / Azure Automation

Eine Sicherheitslücke in den benannten Produkten ermöglicht die Offenlegung von Informationen, wenn ein Benutzer oder eine Anwendung ungeschützte, private Schlüsseldaten als Teil eines Authentifizierungszertifikats (key Credential) in eine Azure AD-Anwendung oder einen Dienstprinzipal hochlädt (was nicht empfohlen wird). Diese Lücke ermöglicht es einem Benutzer oder Dienst im Lesezugriffs-Tenant der Anwendung, private Schlüsseldaten zu lesen, die der Anwendung hinzugefügt wurden.

Die Sicherheitslücke in Azure AD wurde behoben, indem die Offenlegung von privaten Schlüsselwerten, die der Anwendung hinzugefügt wurden, verhindert wurde.

Dieses CVE dient lediglich zur Information, da Microsoft diese bereits geschlossen hat.

CVE-2021-42309 – Vulnerability in Microsoft SharePoint Server related to remote code execution

Base Score: 8.8

Betroffene Komponenten: Microsoft SharePoint Foundation 2013 Service Pack1 / 2016 / 2019 / SharePoint Server Subscription Edition

Der Angreifer muss bei der Zielseite authentifiziert sein und die Berechtigung haben, Listen in SharePoint zu verwalten. Dann ist diese Lücke für ihn ausnutzbar.

Wir empfehlen Ihnen diese Lücke sehr zeitnah zu schließen.

CVE-2021-42320 – Vulnerability in Microsoft SharePoint Server related to spoofing

Base Score: 8.0

Betroffene Komponenten: Microsoft SharePoint Server Subscription Edition / 2016 / 2019

Der Angreifer muss bei der Zielseite authentifiziert sein und die Erlaubnis haben, seinen Anzeigenamen in SharePoint zu ändern. Dann ist diese Lücke für ihn ausnutzbar.

Diese Lücke sollte insbesondere zeitnah geschlossen werden.

CVE-2021-43215 – Vulnerability in iSNS Server Regarding Memory Corruption Could Lead to Remote Code Execution

Base Score: 9.8

Betroffene Komponenten: Windows Server 2008-2019 & Windows 7-10

Ein Angreifer kann eine speziell gestaltete Anfrage an den Internet Storage Name Service (iSNS)-Server senden, die zur Remotecodeausführung führen kann.

Das Internet Storage Name Service (iSNS)-Protokoll wird für die Interaktion zwischen iSNS-Servern und iSNS-Clients verwendet. iSNS unterhält einen Internet Storage Name Service (iSNS)-Server, der eine Registrierungsfunktion bereitstellt, die es allen Entitäten in einem Speichernetzwerk ermöglicht, sich zu registrieren und die iSNS-Datenbank abzufragen.

Bitte schließen Sie diese Lücke dringend, wenn Sie die iSNS Technologie verwenden!

CVE-2021-43217 – Vulnerability in Windows Encrypting File System (EFS) related to remote code execution

Base Score: 8.1

Betroffene Komponenten: Windows Server 2008-2022 & Windows 7-11

Ein Angreifer könnte einen Pufferüberlauf herbeiführen, der die Ausführung von nicht authentifiziertem, nicht in die Sandbox integriertem Code ermöglicht.

Die EFS-Schnittstellen lösen einen Start des EFS-Dienstes aus, wenn dieser nicht bereits ausgeführt wird. Es wird also keine aktive Nutzung der EFS Technologie für diese Lücke vorausgesetzt.

Bitte aktualisieren Sie die Umgebung mit den aktuellen Windows Updates um der Lücke vorzubeugen.

CVE-2021-43899 – Vulnerability in Microsoft 4K Wireless Display Adapter related to remote code execution

Base Score: 9.8

Betroffene Komponente: Microsoft 4k Wireless Display Adapter

Ein nicht authentifizierter Angreifer, der sich im selben Netzwerk wie der Microsoft 4K Display Adapter befindet, kann speziell gestaltete Pakete an ein anfälliges Gerät senden.

Sie müssen die Microsoft Wireless Display Adapter-App aus dem Microsoft Store auf einem System installieren, das mit dem Microsoft 4K Wireless Display Adapter verbunden ist. Verwenden Sie nach der Installation den Abschnitt „Update und Sicherheit“ der App, um die neueste Firmware herunterzuladen und zu installieren.

Bitte aktualisieren Sie diese Komponente dringend, wenn Sie sie in Benutzung haben.

CVE-2021-43905 – Vulnerability in Microsoft Office App related to remote code execution

Base Score: 9.6

Betroffene Komponente: Microsoft Office App

Die besagte Lücke ermöglicht Angreifern Code auszuführen.

Der Microsoft Store wird das Update automatisch auf die betroffenen Kunden anwenden. Kunden können das Update auch sofort erhalten. Weitere Informationen dazu finden Sie hier.

CVE-2021-43907 – Visual Studio Code WSL Extension Remote Code Execution Vulnerability

Base Score: 9.8

Betroffene Komponente: Microsoft Visual Studio Code WSL Extension

Ein potenzieller Angreifer kann über das Netzwerk bei geringer Angriffskomplexität, ohne besondere Rechte und ohne Benutzerinteraktion Zugriff Code ausführen.

Bitte aktualisieren Sie dringend Ihre Umgebung, um diese Lücke zu schließen!

IBM

CVE-2021-29678 – IBM® Db2® is vulnerable to an Information Disclosure as a user with DBADM authority is able to access other databases and read or modify files

Base Score: 8.7

Betroffene Komponente: IBM DB2

IBM Db2 für Linux, UNIX und Windows (einschließlich Db2 Connect Server) könnte es einem Benutzer mit DBADM-Berechtigung ermöglichen, auf andere Datenbanken zuzugreifen und Dateien zu lesen oder zu ändern.

Kunden, die ein anfälliges Fixpack-Level eines betroffenen Programms (V9.7, V10.1, V10.5, v11.1 und V11.5) ausführen, können den speziellen Build mit dem Interim-Fix für dieses Problem von Fix Central herunterladen. Diese speziellen Builds sind basierend auf dem neuesten Fixpack-Level für jede betroffene Version verfügbar: V9.7 FP11, V10.1 FP6, V10.5 FP11, V11.1.4 FP6 und mit dem Release V11.5.7. Sie können auf jede betroffene Fixpack-Stufe der entsprechenden Version angewendet werden, um diese Schwachstelle zu beheben.

Wir empfehlen Ihnen die DB2 Umgebungen zu aktualisieren.

Palo Alto

CVE-2021-3064 – Memory Corruption Vulnerability in GlobalProtect Portal and Gateway Interfaces

Base Score: 9.8

Betroffene Komponente: PAN-OS 8.1.16

Eine Lücke im Palo Alto OS PAN-OS Version 8.1.16 ermöglicht Angreifern eine Schwachstelle in der Speicherverwaltung zu nutzen um sich Zugriff zu verschaffen.

Wir empfehlen Ihnen dringend das OS Ihrer Palo Alto Umgebung zu aktualisieren.

Wenn Sie Fragen haben oder nicht wissen, wie Sie mit den oben genannten Lücken umgehen sollen, zögern Sie nicht uns zu kontaktieren.

Wir helfen Ihnen dabei sicherer zu werden!

Nehmen Sie Kontakt zu uns auf!

    Mit der Erhebung, Verarbeitung und Nutzung meiner personenbezogenen Daten zur Bearbeitung meiner Anfrage erkläre ich mich einverstanden. Ich kann mein Einverständnis jederzeit ohne Angabe von Gründen widerrufen. Weitere Informationen finden Sie in unserer Datenschutzerklärung.

    E-Book: Change Management

    Wie Sie die Einführung von SAP S/4HANA bestmöglich begleiten

    • Was verändert sich konkret mit SAP S/4HANA?
    • Auf was es ankommt, wenn Change Management intern gelöst wird?
    • Auf was kommt es bei der Partnerauswahl für Change Management an?
    • Wie Nagarro ES Unternehmen nach SAP S/4HANA verhilft
    • Welche Vorteile bringt Change Management bei der Transformation nach SAP S/4HANA?