Schwachstellenscanner Nessus: Updates schließen mehrere Sicherheitslücken
Der Netzwerk-Schwachstellenscanner Nessus behebt mit neuen Versionen mehrere Schwachstellen in Drittherstellerkomponenten. Admins sollten sie installieren.
Mit neuen Softwareversionen für Nessus schließt der Anbieter Tenable mehrere Sicherheitslücken. Diese stammen aus Dritthersteller-Komponenten wie OpenSSL oder expat. Administratoren sollten die bereitgestellten Aktualisierungen zügig installieren.
Dritthersteller-Komponenten
In allen neuen Fassungen von Nessus – 10.4.1, 10.3.2, 10.2.1 – haben die Entwickler das OpenSSL-Paket auf den aktuellen Stand 3.0.7 gebracht. Diese Version der Verschlüsselungsbibliothek war bereits vergangene Woche als kritisches Sicherheitsupdate angekündigt worden, kam dann tatsächlich als Release, das immer noch als hochriskant eingestufte Schwachstellen abdichtet (CVE-2022-3602, CVE-2022-3786, beide CVSS 7.5, Risiko "hoch").
Die 10.4er- und 10.3er-Software-Zweige kommen zudem mit der XML-Bibliothek expat in Version 2.5.0 auf das System. Die schließt eine Use-after-free-Lücke, für die bereits Exploit-Code existiert (CVE-2022-43680, CVSS 7.5, hoch).
Für Nutzer der älteren 10.3.0-Version hat Ende vergangener Woche der Stand Nessus 10.3.1 zudem teils kritische Sicherheitslücken in Dritthersteller-Bibliotheken wie libexpat und zlib abgedichtet. Das Update auf die jetzt aktuelle Version 10.3.2 ist daher besonders dringend anzuraten.
Nessus ist ein Schwachstellenscanner, der im Client-Server-Betrieb arbeitet. Neben klassischen Portscans kann Nessus gefundene Dienste auch auf Sicherheitslücken untersuchen. Die aktualisierten Pakete stehen auf der Download-Seite von Tenable bereit. IT-Verantwortliche sollten die Updates rasch herunterladen und installieren, um die potenzielle Angriffsfläche zu reduzieren.
(dmk)