Letzte Woche gab das OpenSSL-Projektteam die Veröffentlichung von OpenSSL Version 3.0.7 bekannt, die ab heute, den 1. November, verfügbar ist. Das Update ist eine Sicherheitskorrektur für eine kritische Schwachstelle in OpenSSL 3.0.x, Entwickler und Unternehmen werden dringend gebeten sicherzustellen, dass sie alle Instanzen von OpenSSL 3 in ihrem Software-Stack gepatcht sind.
Was ist OpenSSL?
OpenSSL ist eine Open-Source-Kryptographie Bibliothek, die häufig von Anwendungen, Betriebssystemen und Websites verwendet wird, um die Kommunikation über das Internet mit SSL (Secure Sockets Layer) und TLS (Transport Layer Security) zu sichern. Das OpenSSL Projekt gibt es seit 1998, Version 3 wurde im September 2021 veröffentlicht und ist eine der am weitesten verbreiteten Open-Source-Bibliotheken weltweit.
Welche Versionen von OpenSSL sind anfällig?
OpenSSL Version 3.0.0 und höher sind anfällig für die kritische Sicherheitslücke, die in Version 3.0.7 gepatcht wird. Die Mehrheit der heute verwendeten OpenSSL-Implementierungen verwenden Version 1.1.1 oder 1.0.2. OpenSSL 3 ist kommt mit vielen Linux-Varianten gebündelt, darunter RedHat, Fedora, CentOS, Linux Mint und weitere.
Docker-Container enthalten normalerweise eine Version von OpenSSL, aber welche Version und ob sie angreifbar ist, hängt von der ursprünglichen Konfiguration ab. Die Bibliothek kann optional auch auf macOS- und Windows-Geräten installiert werden, obwohl Macs standardmäßig die nicht betroffene LibreSSL-Bibliothek ausführen. Anfällige Versionen von OpenSSL werden auch in Datenschutztools wie TOR und Sicherheitsplattformen wie Kali Linux verwendet.
Welche Version ist betroffen:
- OpenSSL 3.0.x
Nich betroffen sind:
- OpenSSL 1.1.1
- OpenSSL 1.1.0
- OpenSSL 1.0.2
- OpenSSL 1.0.1
- LibreSSL
Welche Risiken birgt die kritische Sicherheitslücke in OpenSSL 3?
Obwohl es nur wenige Details über die Schwachstelle gibt und kein CVE zugewiesen wurde, sagt das OpenSSL-Team, dass eine kritische Schwachstelle gängige Konfigurationen betrifft, die ausgenutzt werden könnten. Zu den Fehlern mit dem Schweregrad „Kritisch“ gehören außerdem solche, die leicht aus der Ferne ausgenutzt werden können oder von denen angenommen wird, dass sie wahrscheinlich Remotecode ausführen.
Dies ist nicht das erste Mal, dass OpenSSL von einer kritischen Schwachstelle betroffen ist. Im Jahr 2014 wurde CVE-2014-0160 namens Heartbleed in OpenSSL v1.0.1 entdeckt. Obwohl der Patch am selben Tag verfügbar war, an dem der Fehler bekannt wurde, wurden viele nur langsam gepatcht.
So bereiten Sie die kritische Sicherheitslücke in OpenSSL 3 vor und patchen sie
Wie bei Heartbleed, das schnell ausgenutzt wurde, müssen Unternehmen sicherstellen, dass sie die Entdeckung und Behebung der kritischen OpenSSL-Schwachstelle priorisieren, sobald das Update auf 3.0.7 verfügbar ist, welches heute, den 01. November 2022 veröffentlicht wird. Am besten prüft die Seite von OpenSSL
Admins können einfache Abfragen lokal ausführen, um festzustellen, ob ihr Betriebssystem die anfällige Version enthält.
[php]openssl version[/php]
Fazit
Unternehmen und IT-Teams können von Patch-Warnungen genervt werden. Die Erkennung von Sicherheitslücken ist auf einem historischen Höchststand, und trotz Beweisen Angreifer, dass Sie routinemäßig Sicherheitslücken in bekannter Software und Betriebssystemen ausnutzen. Das ist aus unserer Sicht dem geschuldet, dass das Patch-Management nicht immer die Zeit und die Ressourcen erhält, die es verdient.
Trotzdem kann es sich kein Unternehmen leisten, kritische Sicherheitslücken in Softwarebibliotheken wie OpenSSL zu ignorieren, das so allgegenwärtig und entscheidend für die Sicherheit von Daten im Internet ist, wie viele im Falle der Sicherheitslücke Heartbleed erfahren haben.
Wir werden diesen Artikel aktualisieren, sobald weitere Details im Laufe des Tages verfügbar sind.