19 größtenteils kritische Sicherheitslücken in Sandbox vm2

Am 1. und am 3. Mai veröffentlichte das Entwickler-Team der Sandbox vm2 insgesamt 19 Warnmeldungen auf GitHub zu teils gravierenden Sicherheitslücken in vm2. Die drei kritischsten Lücken haben jeweils den höchsten CVSS-Score von 10/10 und ermöglichen Angreifenden, bösartigen Code auszuführen, auch außerhalb der Sandbox auf dem übergeordneten System.

Die anderen 16 Lücken erlauben Angreifenden neben Code-Ausführung auch Denial-of-Service-Attacken (DoS), Informationen abzugreifen und Sicherheitsmechanismen zu umgehen. Die CVSS-Scores variieren bei den restlichen Lücken zwischen 9.9 (kritisch) und 5.3 (mittel) je nach Schwere der Auswirkungen bei Ausnutzung.

14 der Schwachstellen haben noch keine CVE-Kennung erhalten. Die für die restlichen 5 Lücken vergebenen CVE-Kennungen finden Sie in der unten angegebenen Schwachstellenmeldung des Bundesamts für Sicherheit in der Informationstechnik (BSI).

16 der Schwachstellen werden mit der vm2-Version 3.11.1 geschlossen. Für 3 der Lücken existiert noch keine abgesicherte Version.

Die Verweise zu allen 19 Warnmeldungen inklusive CVSS-Score und abgesichertem Update, falls vorhanden, finden Sie in der unten verlinkten BSI-Schwachstellenmeldung.

• Installieren Sie umgehend die Version 3.11.1 der vm2-Sandbox.
• Prüfen Sie regelmäßig, ob ein abgesichertes Update für die 3 noch offenen Schwachstellen veröffentlicht ist. Installieren Sie dieses Update umgehend.
• Prüfen Sie Ihre Instanz der vm2-Sandbox und Ihr übergeordnetes System auf Anzeichen einer Kompromittierung.