OpenSSL 3.0: Kritische Schwachstelle soll am 1.11. gepatcht werden
von caschy | 11 Kommentare
IT-Verantwortliche aufgepasst, morgen liegt unter Umständen kurzfristig ein Patch-Day an. Das Bundesamt für Sicherheit in der Informationstechnik informiert bereits, dass am 1. November ein Patch für eine Schwachstelle in OpenSSL 3.0 veröffentlicht wird. Die Schwachstelle wird nach Angaben des Teams als kritisch eingeschätzt, weitere Details sind aktuell nicht bekannt. Laut des BSI sei eine größere Betroffenheit von IT-Systemen nicht auszuschließen. Das Bundesamt für Sicherheit in der Informationstechnik stuft das Ganze als IT-Bedrohungsstufe 3 (Orange) ein. Bedeutet: »Die IT-Bedrohungslage ist geschäftskritisch. Massive Beeinträchtigung des Regelbetriebs.«
Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir eine kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.
Wird geladen ...
oje mir graut schon wieder vor den besserwisser-kunden, die am 2. zwischen vor tür warten und sofort patches wollen. das sind dann auch die ersten, die dann jammern, wenn deshalb irgendetwas nicht mehr funktioniert. wenigstens ist morgen feiertag 🙂
satz verwurschtelt.. vor der tür sollte das heißen 😀
Hmm, du liest diesen Satz:
„Das Bundesamt für Sicherheit in der Informationstechnik stuft das Ganze als IT-Bedrohungsstufe 3 (Orange) ein. Bedeutet: »Die IT-Bedrohungslage ist geschäftskritisch. Massive Beeinträchtigung des Regelbetriebs.«“
Und dazu kommt die obige Antwort? Puh…
Was genau brauchst du noch, wenn das BSI schon eine sehr, sehr ernste Warnung raus gibt? Außerdem weiß man seit ein paar Tagen, dass etwas akutes vor der Tür steht. Ist also planbar.
Ja, auch ich habe Feiertag morgen. Auch ich würde gerne die Füße hoch legen, Aber in so einem Fall ist Action angesagt, nicht gemütlich den Mittwoch abwarten und dann auf Freitag verweisen. Und sich dann auch noch über besorgte Kunden lustig machen???
Wenn man seinen Job ernst nimmt, dann muss man so ein Problem schnell aus der Welt schaffen. Auch wenn Feiertag ist. Eure Kunden bezahlen euch, damit ihr ihnen Stress und Probleme von der Backe haltet, oder?
Seltsames Beufsverständnis…
ich werde morgen nicht die füße hochlegen, nur die ruhe genießen 😉 sobald die lücke veröffentlicht wurde und ich weiß, was zu fixen ist, wird gefixt. das dauert halt.
Ok, das hört sich schon anders an 😉 Das BSI hat aber nochmals gedrängt, dass man schon heute aktiv werden soll (siehe https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2022/2022-267005-1032.html)
Hier gibt es eine vorläufige Liste der betroffenen Software auf Github in einem Repository der Cybersicherheitsbehörde der Niederlande: https://github.com/NCSC-NL/OpenSSL-2022/blob/main/software/README.md
Debian-basierte OS nutzen noch OpenSSL 1.1 und sind daher nicht betroffen. OpenVPN ist noch in der Untersuchung. da OpenSSL 3 im derzeitigen Release erst teilweise unterstützt wird, ist noch nicht klar, ob die Lücke relevant ist.
naja das BSI warnt vor so einigem, meistens ist es nicht so schlimm gekommen wie angekündigt, Aktionismus schadet mehr als es nützt, Wenn du deine „Kunden“ lahmlegst weil du überhastet reagierst ist der Schaden auch nicht unbedingt geringer als der Ungewöhliche Fall das jemand die Lücke ausnutzt weil du einen Tag länger brauchst weil du sauber evaluierst, bevor du den Patch einspielst!
Wäre alles was die BSI so an Warnungen raus gibt tatsächlich so eingetreten wären wir längst wieder in der Steinzeit!
Und nein meine Kunden zahlen keine Feiertagszuschläge!
Was interessiert hier eine BSI-Warnung? Wenn das OpenSSL-Project sagt, es ist CRITICAL (=vulnerabilities which can be easily exploited remotely to compromise server private keys or where remote code execution is considered likely in common situations.), dann ist das auch als critical zu behandeln. Aber muss ja jeder selbst vor sich und ggf. seinen Kunden verantworten.
naja, man hätte durchaus mehr details veröffentlichen können, insb. was am patchday tatsächlich notwendig sein wird, zb. zertifikate auswechseln oder nur die openssl binaries aktualisieren… stattdessen lässt man uns im dunkeln aber erwartet gleichzeitig auf kommando übers stöckchen zu springen. schlimm genug, dass das openssl team pausenlos solchen pfusch veröffentlicht.
Man wartet mit der Veröffentlichung von Details normalerweise immer bis der Patch dazu draußen ist, weil sich Kriminelle sonst die Details zu nutze machen und die Lücke ausnutzen, bevor es einen Patch gibt. Je mehr Details bekannt sind, desto höher die Wahrscheinlichkeit, dass noch jemand anderes selbst auf die Lücke stößt.
man kann auch details in einem umfang veröffentlichen, der nicht problematisch ist. aber danke fürs klugscheißen 😉
„naja das BSI warnt vor so einigem, meistens ist es nicht so schlimm gekommen wie angekündigt, Aktionismus schadet mehr als es nützt“
Mein (unvollständiges) Archiv mit IT-Vorfällen hat bisher 1.917 Einträge. Und wenn eine Lücke so zeitig angekündigt wird, sind entweder schon Zero-Days unterwegs oder sie werden sehr schnell kommen. Dein Gelassenheit habe ich nicht. Ich habe bisher auch nicht den Eindruck, dass das BSI zu vorschnellem Aktionismus neigt. Das ist ein Behörde, also eher träge unterwegs. 😀
„der Ungewöhliche Fall das jemand die Lücke ausnutzt weil du einen Tag länger brauchst weil du sauber evaluierst, bevor du den Patch einspielst!“
Wenn deine Kunden damit leben können, dass sie verwundbar sind, wenn du gerade frei hast? Hast du das ihnen wirklich so kommuniziert?
In den letzten Jahren hat der Druck durch sehr, sehr gut ausgestattet Akteure, staatlich oder aus der Cyberkriminalität, stark zugenommen. Und die Frequenz in der Lücken ausgenutzt werden wird immer kürzer. Die Zahl der Zero-Day Angriffe nimmt stark zu. Ich bin nicht so entspannt unterwegs wie du. Da gerade so viel Wirbel gemacht wird und die OpenSSL Leute bereits vorher sehr deutlich angekündigt haben, dass man schnell reagieren soll, wird es sehr schnell Angriffe geben.
Anyway: Ich persönlich habe ein anderes Verständnis von Dienstleistung. Meine Kunden vertrauen mir, dass ich ihnen den Rücken frei halte. Und bisher haben alle auch verständnisvoll reagiert, wenn ich mal im Ausnahmefall einen Aufschlag verlange. Frag sie doch mal, was ihnen wichtiger ist: Länger im Risiko zu sein oder mehr zu bezahlen… Nach meiner Erfahrung ist die Antwort immer eindeutig.