OpenSSL 3.0: Patch 3.0.7 für kritische Schwachstelle ist da

Das Bundesamt für Sicherheit in der Informationstechnik hatte über eine kritische Schwachstelle in OpenSSL 3.0 berichtet. Man könne da eine größere Betroffenheit von IT-Systemen nicht ausschließen, weshalb man das Ganze als IT-Bedrohungsstufe 3 (Orange) einsortierte. Bedeutet: »Die IT-Bedrohungslage ist geschäftskritisch. Massive Beeinträchtigung des Regelbetriebs.« Wie versprochen steht nun der entsprechende Patch bereit.

Release 3.0.7 behebt die beiden kritischen Lücken CVE-2022-3786 und CVE-2022-3602. Zudem liefert man einige Details zu den Schwachstellen. Über die Schwachstellen wurden die Verantwortlichen für OpenSSL am 17. Oktober 2022 von privater Seite informiert. Diverse Organisationen habe man bereits am 25. Oktober 2022 gewarnt.

Im Falle von CVE-2022-3602 sieht man die Schwachstelle so kritisch, da sie zu Remote-Codeausführungen führen kann. Auf einigen Plattformen könnte die Remote-Codeausführung noch immer möglich sein. Man habe da keine Möglichkeit, dies für jede Plattform und Compiler-Kombination zu wissen. Entsprechend wurde die Lücke nur von kritisch zu „hoch“ herabgestuft. Bei CVE-2022-3786 gab es von Beginn keine kritische Einstufung, wenngleich es sich dennoch um eine schwerwiegende Lücke handelt.

Man legt Nutzern freilich nahe, von OpenSSL 3.0.0 – 3.0.6 so bald wie möglich auf die Patch-Version 3.0.7 zu updaten. Versionen vor OpenSSL 3.0 seien nicht betroffen, der betreffende Code wurde erstmals in 3.0.0 eingeführt. Mit OpenSSL 1.1.1 steht dennoch ein neues Update bereit, allerdings nur mit Fehlerbehebungen und ohne Sicherheitskorrekturen. Bis zum Update empfiehlt man Nutzern, die einen TLS-Server betreiben, die TLS-Client-Authentifizierung zu deaktivieren.

Stand jetzt sei wohl kein Exploit in freier Wildbahn der Sicherheitslücke bekannt. Über die Anzahl an betroffenen Servern mit besagten OpenSSL-Versionen führe man keine Statistiken.

Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf ge­lan­gt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir ei­ne kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.