Technische Unterstützung
Dokumentation
Anmeldung
Kontakt
Experten warnen vor möglichen kritischen Fehlern in OpenSSL
8. November 2022. TuxCare PR Team
Große Betriebssystemhersteller, Softwarehersteller, E-Mail-Anbieter und Technologieunternehmen, die OpenSSL in ihre Produkte integrieren, wurden aufgefordert, sich auf eine mögliche "kritische" Sicherheitslücke in den Versionen 3.0 und höher fast aller kryptografischen Bibliotheken vorzubereiten.
OpenSSL ist eine Softwarebibliothek für Anwendungen, die die Kommunikation über Computernetze vor dem Abhören oder der Identifizierung der Gegenseite schützt. Sie wird hauptsächlich von Internetservern verwendet, bei denen es sich meist um HTTPS-Websites handelt.
Der Patch zur Behebung der noch nicht veröffentlichten Schwachstelle in aktuellen Versionen der Technologie wird in einer neuen Version von OpenSSL (Version 3.0.7) veröffentlicht, die für Dienstag, den 1. November, geplant ist. Obwohl die aktualisierte Version der Technologie zeitgleich mit der Freigabe des OpenSSL-Projekts veröffentlicht wird, bleibt Millionen anderen Nutzern möglicherweise nur eine kurze Frist, um die Sicherheitslücke zu finden und zu beheben, bevor Angreifer sie ausnutzen.
Forscher befürchten, dass es sich bei der neuen Sicherheitslücke um einen weiteren Heartbleed-Bug handeln könnte. CVE-2014-0160, eine 2014 entdeckte Heartbleed-Schwachstelle, ermöglicht es Angreifern, die Internetkommunikation abzufangen und Daten von Diensten und Nutzern zu stehlen. Außerdem können sich Angreifer als Dienste ausgeben und bösartige Aktivitäten durchführen, die kaum Spuren hinterlassen, um ihre Handlungen nachzuverfolgen.
Alles, was sicher mit dem Internet kommuniziert, hat möglicherweise OpenSSL eingebaut. Neben Software kann auch Hardware betroffen sein.
Die vom OpenSSL-Projekt bereitgestellten Vorabinformationen geben Unternehmen Zeit, sich darauf vorzubereiten.
Laut Mike Parkin, Senior Technical Engineer bei Vulcan Cyber, sollten Unternehmen in Ermangelung von Exploit-Aktivitäten und damit zusammenhängenden Indikatoren für eine Kompromittierung ihren normalen Change-Management-Prozess befolgen, wenn ein bekanntes Update auf dem Weg ist.
Da einige Unternehmen bereits mit Heartbleed zu tun hatten, wird von ihnen erwartet, dass sie wissen, wo sich ihre OpenSSL-Installationen befinden, da dies von ihren Herstellerprodukten für das Update verlangt wird.
Für John Barnbenek, Chief Threat Hunter bei Netenrich, besteht ein Problem, auf das sich Unternehmen vorbereiten müssen, darin, wie sie mit auslaufenden Produkten umgehen, für die keine Updates mehr verfügbar sind.
Die Quellen für diesen Artikel sind ein Artikel in DarkReading.
