OpenSSL 3.0: Kritische Schwachstelle soll am 1.11. gepatcht werden

IT-Verantwortliche aufgepasst, morgen liegt unter Umständen kurzfristig ein Patch-Day an. Das Bundesamt für Sicherheit in der Informationstechnik informiert bereits, dass am 1. November ein Patch für eine Schwachstelle in OpenSSL 3.0 veröffentlicht wird. Die Schwachstelle wird nach Angaben des Teams als kritisch eingeschätzt, weitere Details sind aktuell nicht bekannt. Laut des BSI sei eine größere Betroffenheit von IT-Systemen nicht auszuschließen. Das Bundesamt für Sicherheit in der Informationstechnik stuft das Ganze als IT-Bedrohungsstufe 3 (Orange) ein. Bedeutet: »Die IT-Bedrohungslage ist geschäftskritisch. Massive Beeinträchtigung des Regelbetriebs.«

In diesem Artikel sind Partner-Links enthalten, wir kennzeichnen ihn daher als Werbung. Durch einen Klick darauf ge­lan­gt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir ei­ne kleine Provision. Für euch ändert sich am Preis nichts. Danke für eure Unterstützung!

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Hallo, ich bin Carsten! Ich bin gelernter IT-Systemelektroniker und habe das Blog 2005 gegründet. Seit 2008 ist es Beruf(ung). Baujahr 1977, Dortmunder im Norden, BVB-Fan und Vater eines Sohnes. Auch zu finden bei Twitter, Facebook, Instagram und YouTube. PayPal-Kaffeespende. Mail: carsten@caschys.blog

Neueste Beiträge

Mit dem Absenden eines Kommentars stimmst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

11 Kommentare

  1. oje mir graut schon wieder vor den besserwisser-kunden, die am 2. zwischen vor tür warten und sofort patches wollen. das sind dann auch die ersten, die dann jammern, wenn deshalb irgendetwas nicht mehr funktioniert. wenigstens ist morgen feiertag 🙂

    • satz verwurschtelt.. vor der tür sollte das heißen 😀

    • FriedeFreudeEierkuchen says:

      Hmm, du liest diesen Satz:
      „Das Bundesamt für Sicherheit in der Informationstechnik stuft das Ganze als IT-Bedrohungsstufe 3 (Orange) ein. Bedeutet: »Die IT-Bedrohungslage ist geschäftskritisch. Massive Beeinträchtigung des Regelbetriebs.«“
      Und dazu kommt die obige Antwort? Puh…
      Was genau brauchst du noch, wenn das BSI schon eine sehr, sehr ernste Warnung raus gibt? Außerdem weiß man seit ein paar Tagen, dass etwas akutes vor der Tür steht. Ist also planbar.
      Ja, auch ich habe Feiertag morgen. Auch ich würde gerne die Füße hoch legen, Aber in so einem Fall ist Action angesagt, nicht gemütlich den Mittwoch abwarten und dann auf Freitag verweisen. Und sich dann auch noch über besorgte Kunden lustig machen???
      Wenn man seinen Job ernst nimmt, dann muss man so ein Problem schnell aus der Welt schaffen. Auch wenn Feiertag ist. Eure Kunden bezahlen euch, damit ihr ihnen Stress und Probleme von der Backe haltet, oder?
      Seltsames Beufsverständnis…

      • ich werde morgen nicht die füße hochlegen, nur die ruhe genießen 😉 sobald die lücke veröffentlicht wurde und ich weiß, was zu fixen ist, wird gefixt. das dauert halt.

      • naja das BSI warnt vor so einigem, meistens ist es nicht so schlimm gekommen wie angekündigt, Aktionismus schadet mehr als es nützt, Wenn du deine „Kunden“ lahmlegst weil du überhastet reagierst ist der Schaden auch nicht unbedingt geringer als der Ungewöhliche Fall das jemand die Lücke ausnutzt weil du einen Tag länger brauchst weil du sauber evaluierst, bevor du den Patch einspielst!

        Wäre alles was die BSI so an Warnungen raus gibt tatsächlich so eingetreten wären wir längst wieder in der Steinzeit!
        Und nein meine Kunden zahlen keine Feiertagszuschläge!

        • Was interessiert hier eine BSI-Warnung? Wenn das OpenSSL-Project sagt, es ist CRITICAL (=vulnerabilities which can be easily exploited remotely to compromise server private keys or where remote code execution is considered likely in common situations.), dann ist das auch als critical zu behandeln. Aber muss ja jeder selbst vor sich und ggf. seinen Kunden verantworten.

          • naja, man hätte durchaus mehr details veröffentlichen können, insb. was am patchday tatsächlich notwendig sein wird, zb. zertifikate auswechseln oder nur die openssl binaries aktualisieren… stattdessen lässt man uns im dunkeln aber erwartet gleichzeitig auf kommando übers stöckchen zu springen. schlimm genug, dass das openssl team pausenlos solchen pfusch veröffentlicht.

            • Man wartet mit der Veröffentlichung von Details normalerweise immer bis der Patch dazu draußen ist, weil sich Kriminelle sonst die Details zu nutze machen und die Lücke ausnutzen, bevor es einen Patch gibt. Je mehr Details bekannt sind, desto höher die Wahrscheinlichkeit, dass noch jemand anderes selbst auf die Lücke stößt.

              • man kann auch details in einem umfang veröffentlichen, der nicht problematisch ist. aber danke fürs klugscheißen 😉

        • FriedeFreudeEierkuchen says:

          „naja das BSI warnt vor so einigem, meistens ist es nicht so schlimm gekommen wie angekündigt, Aktionismus schadet mehr als es nützt“
          Mein (unvollständiges) Archiv mit IT-Vorfällen hat bisher 1.917 Einträge. Und wenn eine Lücke so zeitig angekündigt wird, sind entweder schon Zero-Days unterwegs oder sie werden sehr schnell kommen. Dein Gelassenheit habe ich nicht. Ich habe bisher auch nicht den Eindruck, dass das BSI zu vorschnellem Aktionismus neigt. Das ist ein Behörde, also eher träge unterwegs. 😀

          „der Ungewöhliche Fall das jemand die Lücke ausnutzt weil du einen Tag länger brauchst weil du sauber evaluierst, bevor du den Patch einspielst!“
          Wenn deine Kunden damit leben können, dass sie verwundbar sind, wenn du gerade frei hast? Hast du das ihnen wirklich so kommuniziert?
          In den letzten Jahren hat der Druck durch sehr, sehr gut ausgestattet Akteure, staatlich oder aus der Cyberkriminalität, stark zugenommen. Und die Frequenz in der Lücken ausgenutzt werden wird immer kürzer. Die Zahl der Zero-Day Angriffe nimmt stark zu. Ich bin nicht so entspannt unterwegs wie du. Da gerade so viel Wirbel gemacht wird und die OpenSSL Leute bereits vorher sehr deutlich angekündigt haben, dass man schnell reagieren soll, wird es sehr schnell Angriffe geben.

          Anyway: Ich persönlich habe ein anderes Verständnis von Dienstleistung. Meine Kunden vertrauen mir, dass ich ihnen den Rücken frei halte. Und bisher haben alle auch verständnisvoll reagiert, wenn ich mal im Ausnahmefall einen Aufschlag verlange. Frag sie doch mal, was ihnen wichtiger ist: Länger im Risiko zu sein oder mehr zu bezahlen… Nach meiner Erfahrung ist die Antwort immer eindeutig.

Es werden alle Kommentare moderiert. Lies auch bitte unsere Kommentarregeln:

Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen. Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte - gerne auch mit Humor.

Du willst nichts verpassen?

Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren.