News vom 02.08.2022


Meinberg Security Advisory: [MBGSA-2022.03] Meinberg-LANTIME-Firmware V7.06.004 und V6.24.033

Die LANTIME-Firmware-Version 7.06.004 und 6.24.033 beinhalten Sicherheits-Updates der curl-Bibliothek. Des Weiteren wurde eine Schwachstelle behoben, die es ermöglichte lokale Benutzernamen zu ermitteln.

Es wird empfohlen eine Aktualisierung auf die Version 7.06.004 durchzuführen.


Einschätzung des Bedrohungsgrades bis einschließlich:

  • LANTIME-Firmware V7.06.003:
    Bedrohungsgrad hoch (0), mittel (0), gering (0), info (0)
  • LANTIME-Firmware V7.06.002:
    Bedrohungsgrad hoch (0), mittel (0), gering (1), info (0)
  • LANTIME-Firmware V7.06.001:
    Bedrohungsgrad hoch (0), mittel (1), gering (1), info (0)
  • LANTIME-Firmware V7.04.018:
    Bedrohungsgrad hoch (0), mittel (1), gering (2), info (1)
  • LANTIME-Firmware V6.24.032:
    Bedrohungsgrad hoch (0), mittel (1), gering (2), info (1)

Aktualisierte Versionen:

  • LANTIME-Firmware: V7.06.004
  • LANTIME-Firmware: V6.24.033

  1. Beschreibung der Sicherheitsschwachstellen

    • Software von Drittherstellern:
      • OpenSSL-1.1.1:
        • CVE-2022-2068 - Das c_rehash Script säubert die Shell-Metazeichen nicht korrekt (info)

          OpenSSL-1.1.1p security advisory:
          https://www.openssl.org/news/vulnerabilities.html
          Das c_rehash script ist nicht Teil des LTOS. Da das LTOS nicht betroffen ist, wird diese Schwachstelle nur zur Information gekennzeichnet aufgeführt.

        • CVE-2022-2097 - AES OCB verschlüsselt nicht alle Bytes (gering)

          OpenSSL-1.1.1q security advisory:
          https://www.openssl.org/news/vulnerabilities.html
          Der AES-OCB-Modus wird vom LTOS in keiner Funktionalität verwendet. Es ist jedoch nicht ausgeschlossen, dass Kunden eigene Anpassungen an der Firmware vorgenommen haben, die den AES OCB Modus verwenden. Aus diesen Gründen stuft Meinberg die Schwachstelle nur als gering ein.

          Bereinigt ab: V7.06.003 MBGID-11452 und V6.24.033 MBGID-9408

      • curl:
        • CVE-2022-32208, CVE-2022-32207, CVE-2022-32206, CVE-2022-32205, CVE-2022-30115, CVE-2022-27782, CVE-2022-27781, CVE-2022-27780, CVE-2022-27779, CVE-2022-27778, CVE-2022-27776, CVE-2022-27775, CVE-2022-27774 - Diverse Sicherheitsschwachstellen (mittel)

          Curl security advisory:
          https://curl.se/docs/security.html

          Bereinigt ab:
          V7.06.002 MBGID-11342 und V6.24.033 MBGID-9405

    • LANTIME OS:
      • Benutzer-Anmeldung allgemein:
        • NOCVE - Benutzerauflistung durch Anmeldeversuche (gering)

          Durch eine unterschiedlich lange Verarbeitungszeit von existenten und nicht-existenten lokalen Benutzern war es unter Umständen möglich, Benutzernamen herauszufinden.

          Bereinigt ab:
          V7.06.001 MBGID-11020 und V6.24.033 MBGID-9406

  2. Betroffene Systeme

    Die LANTIME-Firmware-Versionen vor V7.06.003 bzw. (V6.24.033) sind von den Schwachstellen betroffen. Die LANTIME-Firmware wird von allen Geräten der LANTIME-M-Serie (M100, M200, M300, M400, M600, M900) sowie allen Geräten der LANTIME-IMS-Serie (M500, M1000, M1000S, M2000S, M3000, M3000S, M4000) und der SyncFire-Produktfamilie (SF1000 / SF1100 / SF1200) verwendet.

    Ob und in welchem Maß einzelne Kunden bzw. LANTIME-Systeme angreifbar sind, hängt von der jeweiligen Konfiguration, der Netzwerkinfrastruktur und anderen Faktoren ab. Aus diesem Grund kann daher keine allgemeine Aussage über die tatsächliche Angreifbarkeit der eingesetzten Systeme gemacht werden.

  3. Mögliche Sicherheitsmaßnahmen

    Die jeweiligen Sicherheitsupdates sind in der LANTIME-Firmware-Version V7.06.004(-light) und V6.24.033 enthalten. Eine Aktualisierung auf diese Versionen behebt die jeweils gelisteten Sicherheitsschwachstellen.

    Download der neusten LANTIME-Firmware unter:

    Alle Aktualisierungen sind für Meinberg-Kunden ab sofort erhältlich. Es wird empfohlen, die LANTIME-Firmware V7 auf die letzte Version 7.06.004 zu aktualisieren. Kunden die keine Möglichkeit haben die 7.06.004 zu installieren, können vorzugsweise auf die V7.06.004-light zurückgreifen.

  4. Weitere Informationen

    Weitere Details und Informationen finden Sie auf den folgenden Webseiten:

    Bitte kontaktieren Sie Ihren Meinberg-Support, wenn Sie weitere Fragen haben oder Unterstützung benötigen.

  5. Danksagung

    Wir möchten uns vielmals bei allen bedanken, die uns auf Schwachstellen, andere Fehler oder Verbesserungen hingewiesen haben.
    Vielen Dank!

Meinberg Mail Contact Meinberg Mail Contact Meinberg Mail Contact Meinberg Mail Contact Meinberg Mail Contact Meinberg Mail Contact Meinberg Mail Contact Meinberg Mail Contact Meinberg Mail Contact Meinberg Mail Contact Meinberg Mail Contact Meinberg Mail Contact Meinberg Mail Contact Meinberg Mail Contact Meinberg Mail Contact Meinberg Mail Contact Meinberg Mail Contact Meinberg Mail Contact Meinberg Mail Contact Meinberg Mail Contact Meinberg Mail Contact Meinberg Mail Contact Meinberg Mail Contact Meinberg Mail Contact Meinberg Mail Contact Meinberg Mail Contact