Kritische Schwachstelle in OpenSSL 3.0
Die Kryptobibliothek OpenSSL wird seit mehreren Jahren in verschiedenen kryptografischen Systemen eingesetzt. Sie ist besonders wichtig bei gesicherten Datenübertragungen in Computernetzwerken und spielt aufgrund ihrer großen Verbreitung im Internet eine besonders wichtige Rolle bei der Verwendung von zum Beispiel HTTPS (HTTP over SSL/TLS), aber auch bei VPN-Gateways.
Das OpenSSL-Projekt hat am 1. November 2022 eine OpenSSL 3.0.7 veröffentlicht. Diese Version schließt zwei schwerwiegende Schwachstellen, die Pufferüberläufe ermöglichen. Diese beiden Schwachstellen waren vor Veröffentlichung als Schwachstelle kritisch eingestuft worden; mit Blick auf verfügbare Mitigationsstrategien wurde die Kritikalitätseinschätzung seitens des OpenSSL-Projekts leicht nach unten korrigiert.
Weitere Infos unter: www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2022/2022-267005-1032_csw.html
Empfohlene Maßnahmen:
Die ZAC rät zu folgenden Maßnahmen: Da DoS-Attacken durchgeführt werden könnten, sollten die Updates je nach Verfügbarkeit für die entsprechenden Produkte und Betriebssysteme zeitnah eingespielt werden.
Unter dem nachfolgenden Link kann überprüft werden, welche Produkte betroffen sein könnten. Zusätzlich können dort Tools und Skripte einsehen, die zur Identifizierung betroffener OpenSSL Bibliotheken genutzt werden können.
https://github.com/NCSC-NL/OpenSSL-2022
Die ZAC unterstützt Unternehmen oder Behörden: Kontakt über die Hotline 0511 26262-6230 oder per E-Mail zac@lka.polizei.niedersachsen.de
[/vc_column_text][/vc_column][/vc_row]
