Das betrifft wahrscheinlich auch Ihr Unternehmen
In den aktuellen Versionen von OpenSSL wurde eine kritische Schwachstelle entdeckt, für die sofort ein Patch verwendet werden muss. Das OpenSSL-Projekt veröffentlicht die Version 3.0.7 2. November 2022. Dabei handelt es sich um ein kritisches Update, das sofort implementiert werden muss.
Um das ein wenig zu entschlüsseln: OpenSSL ist eine Softwarebibliothek, die weithin genutzt wird, um sichere Netzwerkverbindungen zu ermöglichen. Und „weit verbreitet“ bedeutet, dass es fast allgegenwärtig ist. Wenn Sie HTTPS verwenden, ist die Wahrscheinlichkeit groß, dass Sie auch OpenSSL nutzen. So gut wie jeder tut das.
Es geht hier also um etwas, um das sich fast jeder kümmern muss.
OpenSSL wird vom OpenSSL-Projekt entwickelt, das am Mittwoch, dem 26. Oktober, mitteilte, dass es ein Patch für eine kritische Schwachstelle veröffentlicht.
Das OpenSSL-Projekt definiert eine kritische Schwachstelle wie folgt:
“KRITISCHER Schweregrad. Dies betrifft gängige Konfigurationen, die auch ausnutzbar sein können. Beispiele hierfür sind eine erhebliche Offenlegung des Inhalts des Serverspeichers (wodurch möglicherweise Benutzerdaten preisgegeben werden), Schwachstellen, die leicht aus der Ferne ausgenutzt werden können, um private Schlüssel des Servers zu kompromittieren, oder Schwachstellen, bei denen die Ausführung von Code aus der Ferne in häufig auftretenden Situationen als wahrscheinlich angesehen wird. Diese Probleme werden vertraulich behandelt und führen zu einer neuen Veröffentlichung aller unterstützten Versionen. Wir werden versuchen, diese so schnell wie möglich zu beheben."
[UPDATE] Glücklicherweise wurde der Schweregrad dieser Sicherheitslücke nach den Tests revidiert. Sie wird immer noch als "hoch" eingestuft, kann aber durch ein Update auf OpenSSL 3.0.7 behoben werden, ohne dass die Zertifikate ersetzt werden müssen.
Laut dem OpenSSL-Projekt:
Ein Pufferüberlauf kann bei der X.509-Zertifikatsüberprüfung ausgelöst werden, insbesondere bei der Überprüfung von Namensbeschränkungen. Beachten Sie, dass dies nach der Überprüfung der Signaturen der Zertifikatskette auftritt und erfordert, dass entweder eine CA ein bösartiges Zertifikat signiert hat oder dass eine Anwendung die Zertifikatsüberprüfung fortsetzt, obwohl sie keinen Pfad zu einem vertrauenswürdigen Aussteller aufbauen kann. Ein Angreifer kann eine bösartige E-Mail-Adresse in einem Zertifikat so gestalten, dass eine beliebige Anzahl von Bytes, die das Zeichen `.' (dezimal 46) enthalten, auf dem Stack überlaufen. Dieser Pufferüberlauf könnte zu einem Absturz führen (und eine Dienstverweigerung verursachen).
Bei einem TLS-Client kann dies durch eine Verbindung mit einem bösartigen Server ausgelöst werden. Bei einem TLS-Server kann dies ausgelöst werden, wenn der Server eine Client-Authentifizierung anfordert und ein bösartiger Client eine Verbindung herstellt.
Die OpenSSL-Versionen 3.0.0 bis 3.0.6 sind für dieses Problem anfällig.
Stellen Sie also sicher, dass die zuständigen Personen in Ihrem Unternehmen über diese Sicherheitslücke, ihren potenziellen Schweregrad und die neue Version von OpenSSL (3.0.7), die am 1. November erscheint, informiert werden.
Wenn Sie selbst diese Person sind, müssen Sie überprüfen, ob Sie tatsächlich OpenSSL verwenden (was Sie mit ziemlicher Sicherheit tun) und welche Version Sie verwenden. Hier gibt es ein kleines, aber wichtiges Detail: Diese Informationen betreffen Version 3, so dass Sie, wenn Sie 3.0.6 oder früher verwenden (was hoffentlich nicht der Fall ist), dieses Patch sofort anwenden müssen.
Wenn Sie Version 1.1.1 verwenden, sind Sie von dieser Schwachstelle nicht betroffen. Allerdings wird am Dienstag auch ein Update für die Version 1.1.1 angeboten, auf die Sie ohnehin aktualisieren müssen. Sie sollten also dafür Dienstag etwas Zeit einplanen.
Je länger Sie mit der Aktualisierung warten, desto länger ist Ihr Netzwerk potenziell anfällig.
Eine vollständige Anleitung zur Aktualisierung von OpenSSL finden Sie unter OpenSSL.org/source. Bitte denken Sie daran, dass es sich um eine kritische Sicherheitslücke handelt. Je länger Sie mit der Aktualisierung warten, desto länger bleibt Ihr Netzwerk gefährdet.
GlobalSign ist stolz darauf, Ihr vertrauenswürdiger digitaler Partner zu sein. Wir beobachten diese Situation genau und werden weiterhin im Blog und über direkte Kundenkommunikation (E-Mail) Updates bereitstellen, falls weitere Maßnahmen erforderlich sind.
