Technische Unterstützung
Dokumentation
Anmeldung
Kontakt
Die als "kritisch" gefürchtete OpenSSL-Schwachstelle ist weniger schwerwiegend als erwartet
Obanla Opeyemi
18. November 2022. TuxCare-Expertenteam
Die lang erwarteten OpenSSL-Bugfixes zur Behebung einer kritischen Sicherheitslücke sind jetzt verfügbar. Die neuen OpenSSL-Patches haben den Schweregrad des Fehlers von kritisch auf hoch reduziert.
Der Heartbleed-Bug war ein Datenleck in OpenSSL, das von Clients und zufälligen Internetnutzern fast überall gegen Server ausgelöst werden konnte.
OpenSSL 1.1.1 wird auf Version 1.1.1s aktualisiert und behebt einen aufgelisteten Sicherheitsfehler, der jedoch weder eine Sicherheitseinstufung noch eine offizielle CVE-Nummer hat, während OpenSSL 3.0 auf Version 3.0.7 aktualisiert wird und nicht nur eine, sondern zwei mit CVE-Nummern versehene Schwachstellen behebt, die beide offiziell als besonders schwerwiegend eingestuft werden. Während der Herausgabe eines Patches für CVE-2022-3602 wurde ein neuer und ähnlicher Fehler, CVE-2022-3786, entdeckt.
Bis zur Veröffentlichung des Patches waren die spezifischen Schwachstellen von CVE-2022-37786 und CVE-2022-3602 weitgehend unbekannt, aber Web-Sicherheitsanalysten und Unternehmen wiesen darauf hin, dass es zu erheblichen Problemen und Wartungsaufwand kommen könnte. Einige Linux-Distributionen wie Fedora verzögerten die Veröffentlichung, bis der Patch verfügbar war. In der Zwischenzeit betreffen diese Sicherheitslücken hauptsächlich Clients, nicht Server.
Benutzer müssen nun OpenSSL 1.1.1s oder OpenSSL 3.0.7 verwenden, um die derzeit verwendete Version zu ersetzen, da 1.1.1s einen Sicherheitspatch erhalten hat. 3.0.7 erhält auch Korrekturen für die beiden CVE-nummerierten Sicherheitslücken mit hohem Schweregrad. Die Version 1.0.2 wird weiterhin unterstützt und aktualisiert, allerdings nur für Kunden, die einen Vertrag mit dem Team abgeschlossen haben.
Laut einem Blog-Post des OpenSSL-Sicherheitsteams haben die Unternehmen innerhalb von etwa einer Woche Tests durchgeführt und Rückmeldungen gegeben. Bei einigen Linux-Distributionen überschrieb der 4-Byte-Überlauf, der bei einem Angriff möglich war, einen angrenzenden Puffer, der noch nicht verwendet wurde, wodurch ein Systemabsturz oder die Ausführung von Code verhindert wurde. Der andere Fehler erlaubte es einem Angreifer nur, die Länge eines Überlaufs zu ändern, nicht aber dessen Inhalt.
Zu den Quellen für diesen Beitrag gehört ein Artikel in ArsTechnica.
