Colin Thierry
Veröffentlicht am: 2. November 2022
Das OpenSSL-Projekt hat kürzlich zwei schwerwiegende Sicherheitslücken in seiner kryptografischen Open-Source-Bibliothek gepatcht, die zur Verschlüsselung von Kommunikationskanälen und HTTPS-Verbindungen verwendet wird.
Diese Schwachstellen (CVE-2022-3602 und CVE-2022-3786) wirken sich auf OpenSSL Version 3.0.0 und höher aus und wurden in OpenSSL 3.0.7 behoben.
CVE-2022-3602 kann ausgenutzt werden, um Abstürze oder Remote Code Execution (RCE) zu verursachen, während CVE-2022-3786 von Bedrohungsakteuren über böswillige E-Mail-Adressen verwendet werden kann, um einen Denial-of-Service-Status auszulösen.
„Wir betrachten diese Probleme immer noch als schwerwiegende Schwachstellen und betroffene Benutzer werden aufgefordert, so schnell wie möglich ein Upgrade durchzuführen“, sagte das OpenSSL-Team in a Aussage am Dienstag.
„Uns ist kein funktionierender Exploit bekannt, der zur Remote-Code-Ausführung führen könnte, und wir haben zum Zeitpunkt der Veröffentlichung dieses Beitrags keine Beweise dafür, dass diese Probleme ausgenutzt werden“, fügte er hinzu.
Laut OpenSSL Sicherheitsrichtlinie, Unternehmen (z ExpressVPN) und IT-Administratoren waren gewarnt letzte Woche, um ihre Umgebungen nach Schwachstellen zu durchsuchen und sich darauf vorzubereiten, sie zu patchen, sobald OpenSSL 3.0.7 veröffentlicht wurde.
„Wenn Sie im Voraus wissen, wo Sie OpenSSL 3.0+ verwenden und wie Sie es verwenden, können Sie beim Erscheinen der Empfehlung schnell feststellen, ob oder wie Sie betroffen sind und was Sie patchen müssen.“ sagte OpenSSL-Gründer Mark J Cox in einem Twitter-Beitrag.
OpenSSL stellte auch Minderungsmaßnahmen bereit, die Administratoren, die TLS-Server (Transport Layer Security) betreiben, dazu verpflichteten, die TLS-Client-Authentifizierung zu deaktivieren, bis die Patches angewendet wurden.
Die Auswirkungen der Schwachstellen waren viel begrenzter als ursprünglich angenommen, da CVE-2022-3602 von kritisch auf hochgradig herabgestuft wurde und nur OpenSSL 3.0 und spätere Instanzen betrifft.
Pro Cloud-Sicherheitsfirma Wiz.iowurde festgestellt, dass nur 1.5 % aller OpenSSL-Instanzen von der Sicherheitslücke betroffen waren, nachdem die Bereitstellungen in großen Cloud-Umgebungen (einschließlich AWS, GCP, Azure, OCI und Alibaba Cloud) analysiert wurden.
Das niederländische National Cyber Security Center teilte ebenfalls a Liste von Softwareprodukten, die bestätigt wurden, nicht von der OpenSSL-Schwachstelle betroffen zu sein.
- Blockchain
- Einfallsreichtum
- Cryptocurrency Brieftaschen
- Kryptoaustausch
- Internet-Sicherheit
- Cyber-Kriminelle
- Internet-Sicherheit
- Heimatschutzministerium
- digitale Brieftaschen
- Firewall
- Kaspersky
- Malware
- McAfee
- NexBLOC
- Plato
- platon ai
- Datenintelligenz von Plato
- Plato-Spiel
- PlatoData
- Platogaming
- Sicherheitsdetektive
- VPN
- Website-Sicherheit
- Zephyrnet
