OpenSSL 3.0: Patch 3.0.7 für kritische Schwachstelle ist da

Das Bundesamt für Sicherheit in der Informationstechnik hatte über eine kritische Schwachstelle in OpenSSL 3.0 berichtet. Man könne da eine größere Betroffenheit von IT-Systemen nicht ausschließen, weshalb man das Ganze als IT-Bedrohungsstufe 3 (Orange) einsortierte. Bedeutet: »Die IT-Bedrohungslage ist geschäftskritisch. Massive Beeinträchtigung des Regelbetriebs.« Wie versprochen steht nun der entsprechende Patch bereit.

Release 3.0.7 behebt die beiden kritischen Lücken CVE-2022-3786 und CVE-2022-3602. Zudem liefert man einige Details zu den Schwachstellen. Über die Schwachstellen wurden die Verantwortlichen für OpenSSL am 17. Oktober 2022 von privater Seite informiert. Diverse Organisationen habe man bereits am 25. Oktober 2022 gewarnt.

Im Falle von CVE-2022-3602 sieht man die Schwachstelle so kritisch, da sie zu Remote-Codeausführungen führen kann. Auf einigen Plattformen könnte die Remote-Codeausführung noch immer möglich sein. Man habe da keine Möglichkeit, dies für jede Plattform und Compiler-Kombination zu wissen. Entsprechend wurde die Lücke nur von kritisch zu „hoch“ herabgestuft. Bei CVE-2022-3786 gab es von Beginn keine kritische Einstufung, wenngleich es sich dennoch um eine schwerwiegende Lücke handelt.

Man legt Nutzern freilich nahe, von OpenSSL 3.0.0 – 3.0.6 so bald wie möglich auf die Patch-Version 3.0.7 zu updaten. Versionen vor OpenSSL 3.0 seien nicht betroffen, der betreffende Code wurde erstmals in 3.0.0 eingeführt. Mit OpenSSL 1.1.1 steht dennoch ein neues Update bereit, allerdings nur mit Fehlerbehebungen und ohne Sicherheitskorrekturen. Bis zum Update empfiehlt man Nutzern, die einen TLS-Server betreiben, die TLS-Client-Authentifizierung zu deaktivieren.

Stand jetzt sei wohl kein Exploit in freier Wildbahn der Sicherheitslücke bekannt. Über die Anzahl an betroffenen Servern mit besagten OpenSSL-Versionen führe man keine Statistiken.

Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf ge­lan­gt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir ei­ne kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Avatar-Foto

Baujahr 1995. Technophiler Schwabe & Lehrer. Unterwegs vor allem im Bereich Smart Home und ständig auf der Suche nach neuen Gadgets & Technik-Trends aus Fernost. X; Threads; LinkedIn. Mail: felix@caschys.blog

Neueste Beiträge

Mit dem Absenden eines Kommentars stimmst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

Ein Kommentar

  1. https://www.gamezone.de/TikTok-Firma-274832/News/TikTok-Verbot-in-den-USA-1406054/

    Tiktok steht in den USA vor Verbot! Erfolgreichste Social Media Plattform steht in den USA durch us Regierung beiden vor Verbot.

Es werden alle Kommentare moderiert. Lies auch bitte unsere Kommentarregeln:

Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen. Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte - gerne auch mit Humor. In jedes Thema Politik einbringen ist nicht erwünscht.

Du willst nichts verpassen?

Du hast die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren.