Ab sofort liegt die OpenSSL-Bibliothek in der angekündigten, aktualisierten Fassung vor. Die Entwickler haben darin zunächst als kritisch eingestufte Sicherheitslücken geschlossen, die in üblichen Konfigurationen auftreten solle und sich leicht von Angreifern missbrauchen ließe. IT-Verantwortliche mit verwundbaren Systemen sollten zügig die aktuelle Software herunterladen und installieren.
OpenSSL 3.0.7 schließt die Sicherheitslücke, die in den Versionen 3.0.0 bis 3.0.6 klafft. Versionen vor OpenSSL 3.0.0, das im September 2021 erschien, sind von der Schwachstelle nicht betroffen. Administratoren der aktuellen Version 1.1.1 oder 1.0.2 der OpenSSL-Bibliothek müssen daher nicht aktiv werden.
In beiden Fällen erfolgt der gefährliche Pufferüberlauf erst nach der Überprüfung der Vertrauenswürdigkeit des Zertifikats. Das bedeutet, dass ein bösartiges Zertifikat entweder von einer Zertifizierungsstelle unterschrieben sein müsste oder der Client auch bereits als ungültig erkannte Zertifikate weiter untersucht. Welche Client-Software das so handhabt, werden wohl erst die Advisories der jeweiligen Hersteller (bzw. entsprechende Analysen Dritter) zeigen.
Insgesamt erweisen sich die Lücken, damit als nicht so kritisch wie zunächst anzunehmen war. Mit großflächigen Angriffswellen wie bei Heartbleed ist bei diesen Schwachstellen eher nicht zu rechnen, weil jeweils mehrere Faktoren zusammen kommen müssen. Das schätzen wohl auch die OpenSSL-Entwickler so ein und haben im
Die aktualisierten Quellcodes gibt es auf der
Das niederländische Nationaal Cyber Security Centrum (NCSC-NL) pflegt auf GitHub eine ausführliche
Da Heartbleed für viele eine Überraschung war, hat sich das OpenSSL-Projekt dazu entschieden, kritische Schwachstellen mit
UPDATE01.11.2022 18:06 Uhr
Absätze drei bis fünf mit Einzelheiten der Sicherheitslücken ergänzt.
Quelle: heise
OpenSSL 3.0.7 schließt die Sicherheitslücke, die in den Versionen 3.0.0 bis 3.0.6 klafft. Versionen vor OpenSSL 3.0.0, das im September 2021 erschien, sind von der Schwachstelle nicht betroffen. Administratoren der aktuellen Version 1.1.1 oder 1.0.2 der OpenSSL-Bibliothek müssen daher nicht aktiv werden.
Zwei Lücken im X.509-Parser
Gemäß dem Advisory finden sich im Parser für X509-Zertifikate zwei Buffer-Overflow-Schwachstellen, die sich jeweils durch spezielle E-Mail-Adressen in Zertifikaten auslösen lassen (CVE-2022-3602, CVE-2022-3786). Um einen Server anzugreifen, muss dieser zuvor zertifikatsbasierte Client Authentification anfordern, was bei HTTPS nicht weitverbreitet ist. Um den Fehler in einem Client auszulösen, muss dieser sich zunächst mit einem bösartigen Server verbinden.In beiden Fällen erfolgt der gefährliche Pufferüberlauf erst nach der Überprüfung der Vertrauenswürdigkeit des Zertifikats. Das bedeutet, dass ein bösartiges Zertifikat entweder von einer Zertifizierungsstelle unterschrieben sein müsste oder der Client auch bereits als ungültig erkannte Zertifikate weiter untersucht. Welche Client-Software das so handhabt, werden wohl erst die Advisories der jeweiligen Hersteller (bzw. entsprechende Analysen Dritter) zeigen.
Insgesamt erweisen sich die Lücken, damit als nicht so kritisch wie zunächst anzunehmen war. Mit großflächigen Angriffswellen wie bei Heartbleed ist bei diesen Schwachstellen eher nicht zu rechnen, weil jeweils mehrere Faktoren zusammen kommen müssen. Das schätzen wohl auch die OpenSSL-Entwickler so ein und haben im
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
die Einstufung von "kritisch" auf "hoch" herabgesetzt.Die aktualisierten Quellcodes gibt es auf der
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
. Zudem lassen sich die fehlerbereinigten Quellen aus dem
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
klonen. Die Linux-Distributionen dürften aufgrund der Vorankündigung ebenfalls aktualisierte Pakete sehr zeitnah anbieten. Administratoren müssen diese gegebenenfalls mit der Distributions-eigenen Softwareverwaltung suchen, herunterladen und installieren lassen.Das niederländische Nationaal Cyber Security Centrum (NCSC-NL) pflegt auf GitHub eine ausführliche
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
, an der sich IT-Verantwortliche vorerst orientieren können. Sicherheit über die aktive OpenSSL-Version liefert jedoch erst die konkrete Ausgabe des Befehls openssl version im Terminal.Heartbleed-Schock
Vor rund acht Jahren sorgte die Heartbleed genannte Sicherheitslücke für ein Beben im Internet: Die OpenSSL-Bibliothek ist faktisch omnipräsent und hat viele Systeme verwundbar gemacht.Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
– Angreifer konnten Schlüssel für die Verschlüsselung auslesen und somit eigentlich geschützte Kommunikation dechiffrieren.Da Heartbleed für viele eine Überraschung war, hat sich das OpenSSL-Projekt dazu entschieden, kritische Schwachstellen mit
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
. Somit können potenziell Betroffene sich vorbereiten, bei Verfügbarkeit die Updates rasch herunterzuladen und zu installieren. So erläutern das zumindest die IT-Sicherheitsexperten des
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
.UPDATE01.11.2022 18:06 Uhr
Absätze drei bis fünf mit Einzelheiten der Sicherheitslücken ergänzt.
Quelle: heise
